Question

XSS涉及的场景可以很广，现在越来越多的客户端软件支持HTML解析和JavaScript解析，比如：HTML文档、XML文档、Flash、PDF、QQ、一些音乐播放器、一些浏览器的功能界面等。在不同的域范围内执行的XSS权限也不一样。比如，你是在Internet域内执行XSS，还是在本地域、特殊域（比如浏览器的一些功能界面上或插件层面上，这里往往拥有更多丰富且强大的API）内执行XSS。

注：有一个更容易让我们产生关联的概念，XSS主要是JavaScript在发挥作用，JavaScript日渐流行，服务端一些重要的组件也支持JavaScript，如MongoDB文档型数据库，Node.js原生的v8引擎，处理HTTP能力强于Nginx/Apache，执行这些服务端组件的命令都是JavaScript。

关于客户端软件的XSS，下面介绍一个经典的案例：QQ客户端XSS攻击。

2009年时，QQ 2009出现过一次大调整，在客户端界面上融入了很多HTML元素。我们发现可以在QQ聊天面板中注入HTML语句破坏正常的HTML结构，于是我们简单发了blog（2009/4/1，愚人节那天），内容如下。

update 2009-4-13：

xeye团队在第一时间将漏洞信息提供给腾讯官方。该问题在qq 2009 beta2(562)中得到修复。由于腾讯主动推送了此补丁，因此，公布漏洞细节如下。

这个漏洞的构造如下：

昵称修改为：<iframe x=' 发送一条这样的消息给被攻击者：'src='http:\%62aidu. com'y=。当被攻击者查看聊天记录时，触发以上代码。

绕过细节：

http://必须替换为http:\\，域名的第一个字符必须为urlencode。如上格式，这里使用了符号，达到了在IE内核环境下的引号作用。利用该漏洞还可以造成QQ crash。xeye有几篇文章都提到了客户端APP XSS的危险与利用，这个安全威胁同样不能忽略。