備受矚目的HTML5近日又被發現存有漏洞:它允許網站利用數GB垃圾數據對用戶展開轟炸,甚至會在短時間內將硬盤塞滿。
率先發現這一漏洞的開發者菲羅斯·阿伯克哈迪杰哈(Feross Aboukhadijeh)稱,該漏洞將致使多款主流瀏覽器受到影響,包括蘋果Safari、谷歌Chrome、微軟IE和Opera。相比之下,數據存儲上限可達5MB的Mozilla的火狐瀏覽器,可較好得以避免。
據了解,該問題的根源在于HTML5存儲本地數據的方式。雖然每個瀏覽器都有不同的存儲參數,但很多都支持用戶自定義限制,且至少會在用戶電腦上存儲2.5MB數據。
阿伯克哈迪杰哈便發現了一個或與該漏洞“工作”原理類似的方法,即通過創建多個與用戶訪問過的網站鏈接的臨時網站,存儲與主網站相同量的數據,便可輕易繞過數據量上限。
阿伯克哈迪杰哈的測試結果是,每16秒即可向他的固態硬盤版MacBook Pro中加載1GB數據。“一些采用高明代碼的網站其實已經取消了用戶電腦對數據存儲的限制。”阿伯克哈迪杰哈說。