世界之窗论坛 - Powered by Discuz! Board

标题: [BUG反馈] 安全浏览？形同虚设—— [打印本页]

作者: 52twb 时间: 2008-7-2 20:46 标题: 安全浏览？形同虚设——

刚才看了帖子说，2.2.0.1修补了IE的漏洞，测试了一下，很失望。
发此贴，主旨向开发组反应，不是戳TW的丑，

[ 本帖最后由 52twb 于 2008-7-2 20:49 编辑 ]

作者: 52twb 时间: 2008-7-2 20:47

测试的代码如下：
<body>
<style type="text/css">
body{background:url('javascript:XMLHTTP=new ActiveXObject("Msxml2.XMLHTTP.3.0");XMLHTTP.open("GET","c:/boot.ini",false);XMLHTTP.send();alert(XMLHTTP.responseText);')}
</style>
<img src=""></img>
</body>

作者: himmel 时间: 2008-7-2 21:00

好啊~~~~早点修复，造福用户~~~~

作者: AY 时间: 2008-7-2 21:24

这个是 IE 内核的问题，透过 safe for scripting 的 activex 控件，网页应该是不能读取本地档案的，但这样就可以：

XMLHTTP=new ActiveXObject("Msxml2.XMLHTTP.3.0");
XMLHTTP.open("GET","c:/boot.ini",false);
XMLHTTP.send();
alert(XMLHTTP.responseText);

复制代码

问题是 IE7 自己竟然又再次不受影响 ... 希望只是偶然的 ...

作者: 52twb 时间: 2008-7-2 23:21

原帖由 AY 于 2008-7-2 21:24 发表 http://bbs.ioage.com/cn/images/common/back.gif
这个是 IE 内核的问题，问题是 IE7 自己竟然又再次不受影响 ... 希望只是偶然的

IE7.0真的这么牛？？

作者: mutalisker 时间: 2008-7-3 16:33

如果这个页面是在本地，那有这样的权限会有什么问题呢？

多指教

作者: AY 时间: 2008-7-3 19:51

原帖由 mutalisker 于 2008-7-3 16:33 发表 http://bbs.ioage.com/cn/images/common/back.gif
如果这个页面是在本地，那有这样的权限会有什么问题呢？

多指教

啊，的确是本地才有效，那应该没有什么问题了。

欢迎光临世界之窗论坛 (http://bbs.theworld.cn/)