备受瞩目的HTML5近日又被发现存有漏洞:它允许网站利用数GB垃圾数据对用户展开轰炸,甚至会在短时间内将硬盘塞满。
率先发现这一漏洞的开发者菲罗斯·阿伯克哈迪杰哈(Feross Aboukhadijeh)称,该漏洞将致使多款主流浏览器受到影响,包括苹果Safari、谷歌Chrome、微软IE和Opera。相比之下,数据存储上限可达5MB的Mozilla的火狐浏览器,可较好得以避免。
据了解,该问题的根源在于HTML5存储本地数据的方式。虽然每个浏览器都有不同的存储参数,但很多都支持用户自定义限制,且至少会在用户电脑上存储2.5MB数据。
阿伯克哈迪杰哈便发现了一个或与该漏洞“工作”原理类似的方法,即通过创建多个与用户访问过的网站链接的临时网站,存储与主网站相同量的数据,便可轻易绕过数据量上限。
阿伯克哈迪杰哈的测试结果是,每16秒即可向他的固态硬盘版MacBook Pro中加载1GB数据。“一些采用高明代码的网站其实已经取消了用户电脑对数据存储的限制。”阿伯克哈迪杰哈说。