備受矚目的HTML5近日又被發(fā)現(xiàn)存有漏洞:它允許網(wǎng)站利用數(shù)GB垃圾數(shù)據(jù)對(duì)用戶展開(kāi)轟炸,甚至?xí)诙虝r(shí)間內(nèi)將硬盤(pán)塞滿。
率先發(fā)現(xiàn)這一漏洞的開(kāi)發(fā)者菲羅斯·阿伯克哈迪杰哈(Feross Aboukhadijeh)稱(chēng),該漏洞將致使多款主流瀏覽器受到影響,包括蘋(píng)果Safari、谷歌Chrome、微軟IE和Opera。相比之下,數(shù)據(jù)存儲(chǔ)上限可達(dá)5MB的Mozilla的火狐瀏覽器,可較好得以避免。
據(jù)了解,該問(wèn)題的根源在于HTML5存儲(chǔ)本地?cái)?shù)據(jù)的方式。雖然每個(gè)瀏覽器都有不同的存儲(chǔ)參數(shù),但很多都支持用戶自定義限制,且至少會(huì)在用戶電腦上存儲(chǔ)2.5MB數(shù)據(jù)。
阿伯克哈迪杰哈便發(fā)現(xiàn)了一個(gè)或與該漏洞“工作”原理類(lèi)似的方法,即通過(guò)創(chuàng)建多個(gè)與用戶訪問(wèn)過(guò)的網(wǎng)站鏈接的臨時(shí)網(wǎng)站,存儲(chǔ)與主網(wǎng)站相同量的數(shù)據(jù),便可輕易繞過(guò)數(shù)據(jù)量上限。
阿伯克哈迪杰哈的測(cè)試結(jié)果是,每16秒即可向他的固態(tài)硬盤(pán)版MacBook Pro中加載1GB數(shù)據(jù)!耙恍┎捎酶呙鞔a的網(wǎng)站其實(shí)已經(jīng)取消了用戶電腦對(duì)數(shù)據(jù)存儲(chǔ)的限制!卑⒉斯辖芄f(shuō)。