还可以在页面选定文本的查找中,如果选定文本是javascript URI形式,那么Firefox手机浏览器就会执行其中的js代码,但这种利用危害较小,只会显示一个错误加载框,但好在还可以用它来把用户导向其它恶意网站。
其它浏览器的该漏洞情况
除了Firefox,Opera mini for IOS也存在上述XSS漏洞,我们已经及时告知了Opera官方,但他们目前为止还未给出回应。
漏洞原因分析从v10一直到v19版本,Firefox 都在地址栏中支持 javascript URI 调用,这样就存在上述XSS可能。
经上报给Firefox之后,他们及时从地址栏中删除了javascript URI功能,漏洞也获得CVE-2019-17003的分配。