IT专家网：安全组织证实QQMail存在跨站脚本漏洞

   QQ Mail是Tencent公司提供的webmail服务，你可以使用你的QQ帐户来登陆使用Mail服务，国内web安全组织80sec近日表示，QQ Mail中存在跨站脚本漏洞。

    漏洞说明：QQ Mail是Tencent公司提供的webmail服务，你可以使用你的QQ帐户来登陆使用Mail服务，具体的信息可以访问http://mail.qq.com/。近日，国内web安全研究组织80sec在QQ Mail里发现存在跨站脚本漏洞，恶意用户可以通过该漏洞在邮件里伪造登陆表单窃取目标用户的密码以及偷取Cookie以取得其他用户的身份，或者使用ajax等技术读取用户的敏感信息。

    漏洞成因：QQ Mail的Javaｓｃｒｉｐｔ Dom部分在处理邮件内容，对邮件内容字符串的处理分为str和code两个流程，通过组合的标签内容可以误导Javaｓｃｒｉｐｔ处理图片内容和文字链接进入str流程，将HTML编码字符串还原为HTML标签。