感谢匿名投递:
在Black Hat大会之后,RSS订阅的潜在攻击问题浮出水面,微软阐述了它们为减少这种情况的发生说采取的措施.RSS提供了一些相对email具有独特优势的功能,它减少了垃圾邮件/信息的产生.一份订阅也会危机安全,在Black Hat上黑客们讨论了这个问题,它们可以使用恶意有效荷载几乎瞬时即可攻击成千上万的订阅者.其中,可以通过SQL注入、命令执行和Dos攻击进行攻击.同时,微软想通过采取一些措施减小这种情况的发生.

在RSS Blog组中,微软的Walter vonKoch谈到了微软已经注意到了IE7和Windows RSS平台的潜在问题,它们已经在处理订阅中的脚本威胁.

RSS平台会从一份订阅的HTML区域对脚本进行清除操作,而不会暴露来自原始表单的威胁.

在IE7中,不论订阅来自何方,订阅视图在显示过程中都运行在受限区域.而受限区域中是禁止脚本的,以及可能通过自发内容触发的URL行为.

译稿来源:西行资讯