WooYun.org

对于URL context的XSS防御，很多厂家都会选择检测URL的开头的字符，比如前七个字符是不是“http://” or 前八个字符是不是"https://"。从效果上来看，这种方法到现在还是非常凑效的。
不过由于safari的设计缺陷，当功能“允许在智能栏里使用JavaScript”开启时（我一般都会开启，因为这对我来说便于做一些测试），会导致上述的防御URL context的机制被绕过。

以mail.qq.com为例，我们现在向受害者写一封邮件，并在内容中填上：

<a href="http://javascript:%0c//mail.qq.com/cgi-bin/frame_html?sid=ajetBhzNxRO3GUAT&r=588c3348231f8ab20df088c03c0a5284'%0aalert(document.domain)">click me</a>

就像上面所描述的那样，由于URL是http://开头的，所以mail.qq.com不会对这段URL进行任何过滤处理。当受害者收到邮件并点击这个Anchor时，我们可以看到这样的画面：

由于Javascript没有立刻被执行。这里第一个会让人想到的是“我知道，protocol被隐藏了”。按照常理来说应该是那样的，但实际上我们的"http://"是被strip掉了。
让我们试着在地址栏里按一下回车：

从图中可以看到JS在mail.qq.com下被执行了。而对于其它浏览器来说这是根本不可能的。
如果你是一个没有耐心的用户，看页面一片空白，就想着在地址栏里按下回车试图重新加载，这个时候你可能就已经遭受到跨站脚本攻击了。