对用户输入过滤不严,导致可植入恶意代码。

payload:

<svg><a xlink:href="javascript:alert(document.domain)" target="_blank"><text>AAAAA</text></a></svg>

<image>和<rect>之类的,由于被过滤了width和heigth就没法利用了。不过还是可以插入<text>来解决问题。但是不足之处就是没法调整字体大小(各种过滤- -)且需要点击。但是如果重复插入一个payload多次,还是可以扩大一定的点击面积的。

该payload在IE10,IE11,Firefox25(最新版本),chrome31(最新版本)下均有效,所以还是有点影响范围的。

搜狐邮箱存储型XSS(需点击)

修复方案:

我几乎想不到一个邮件需要支持用户写入svg标签或者允许用户使用xlink:href属性的理由