Coremail邮箱移动web端XSS

### 简要描述： 都大学生了，还用不起智能手机没有个人电脑，有比我更屌丝的么？ ### 详细说明： 前言:问题出现在附件预览上面，测试于IOS移动端 #1 新建一个html格式文件，内容为 ``` <script>alert(1)</script> ``` 作为附件发送 [<img src="https://images.seebug.org/upload/201507/011605434e9ef89f9ed2dab4f76e8da58b186e52.png" alt="QQ截图20150701160703.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/011605434e9ef89f9ed2dab4f76e8da58b186e52.png) #2 点击下载触发(移动端上) [<img src="https://images.seebug.org/upload/201507/01162541023bd4b54524f9030cdc9840de12e446.png" alt="QQ截图20150701162613.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/01162541023bd4b54524f9030cdc9840de12e446.png) #3 把此链接copy下发送QQ消息，发现换个移动端浏览器也可以直接触发 [<img src="https://images.seebug.org/upload/201507/0116311614f26bd12754506e65cf098fe8321ce3.png" alt="QQ截图20150701163229.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/0116311614f26bd12754506e65cf098fe8321ce3.png) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201507/01163248a44f7556c26e006b624bcd5c1fd5f22d.png" alt="QQ截图20150701163414.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/01163248a44f7556c26e006b624bcd5c1fd5f22d.png)