備受矚目的HTML5近日又被發(fā)現(xiàn)存有漏洞:它允許網(wǎng)站利用數(shù)GB垃圾數(shù)據(jù)對用戶展開轟炸,甚至?xí)诙虝r間內(nèi)將硬盤塞滿。
率先發(fā)現(xiàn)這一漏洞的開發(fā)者菲羅斯·阿伯克哈迪杰哈(Feross Aboukhadijeh)稱,該漏洞將致使多款主流瀏覽器受到影響,包括蘋果Safari、谷歌Chrome、微軟IE和Opera。相比之下,數(shù)據(jù)存儲上限可達(dá)5MB的Mozilla的火狐瀏覽器,可較好得以避免。
據(jù)了解,該問題的根源在于HTML5存儲本地數(shù)據(jù)的方式。雖然每個瀏覽器都有不同的存儲參數(shù),但很多都支持用戶自定義限制,且至少會在用戶電腦上存儲2.5MB數(shù)據(jù)。
阿伯克哈迪杰哈便發(fā)現(xiàn)了一個或與該漏洞“工作”原理類似的方法,即通過創(chuàng)建多個與用戶訪問過的網(wǎng)站鏈接的臨時網(wǎng)站,存儲與主網(wǎng)站相同量的數(shù)據(jù),便可輕易繞過數(shù)據(jù)量上限。
阿伯克哈迪杰哈的測試結(jié)果是,每16秒即可向他的固態(tài)硬盤版MacBook Pro中加載1GB數(shù)據(jù)!耙恍┎捎酶呙鞔a的網(wǎng)站其實(shí)已經(jīng)取消了用戶電腦對數(shù)據(jù)存儲的限制!卑⒉斯辖芄f。