谷歌開發人員在現代Web瀏覽器中發現嚴重跨域漏洞

Google谷歌研究人員在現代網路瀏覽器中發現了一個嚴重漏洞，該漏洞可能允許您訪問的網站從您登錄同一瀏覽器的其他網站竊取您的在線帳戶的敏感內容。

由Google谷歌Chrome的開發者支持者Jake發現，該漏洞駐留在瀏覽器處理視頻和音頻文件的跨域請求的方式中，這些文件如果被利用，可能允許遠程攻擊者甚至讀取您的郵箱或微博消息的內容。

出於安全原因，現代Web瀏覽器不允許網站向不同的域發出跨域請求，除非任何域明確允許。這意味著，如果您訪問瀏覽器上的網站，則只能從網站載入的相同來源請求數據，以防止它代表您進行任何未經授權的請求，企圖從其他網站竊取您的數據。

但是，當瀏覽器訪存其他來源的媒體文件時，網路瀏覽器不會以相同的方式做出響應，允許您訪問的網站無限制地載入來自不同域的音頻/視頻文件。此外，瀏覽器還支持範圍標題和部分內容響應，允許網站提供大型媒體文件的部分內容，這在播放大型媒體或下載具有暫停和恢復能力的文件時很有用。

由於在底層內容在請求之間發生變化後，Chrome和Safari已經制定了拒絕這些跨請求請求的策略，因此他們的用戶已經受到保護。根據谷歌安全研究人員的說法，這個漏洞可以被惡意網站利用，在其網頁上使用嵌入式媒體文件，如果播放該文件，它只會從自己的伺服器提供部分內容，並要求瀏覽器從不同來源獲取文件的其餘部分，迫使瀏覽器發出一個跨域請求。（黑客周刊）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！