针对MHTML的漏洞，微软前不久终于出了个补丁。补丁后，IE将提示用户下载文件。但根据测试，如果用户当时直接点击“打开”，仍将触发“跨域”问题。

更有意思的是，测试发现，文章中的embed等标签嵌入flash的安全隐患并没有解决。也就是利用第三方flash的一些功能，该漏洞仍可以轻易利用。

原

http://127.0.0.1/bom.html

header设置为：Content-Type:text/html;charset=utf-8

页面内容：

<meta HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=big5">

<script> 

alert(document.charset);//IE chrome

alert(document.defaultCharset);//IE chrome

alert(document.characterSet);//FF

</script>

记事本里另存为bom.html  编码为unicode  。也就是该页面的BOM为：FF FE

终于毕业了，本科四年结束。即将前往向往已久的互联网公司从事网络安全方面的工作。期待～

也很久没写日志，一直很懒，加上忙于毕业设计。

贴一下我的毕设——基于DNS协议的僵尸网络检测系统 的总的框架图，由于咱是菜鸟，代码就不放出来丢人了：

虽说这个毕设跟我主要关注的web安全方向没啥大的关联，也导致我这段时间

好久没写东西了，最近寒假，比较忙～学习为主！

新年快乐，情人节快乐

大四都要寒假了，快去工作了。希望自己能写点东西了，纯当菜鸟扯谈。也想借此交流下技术，认识些牛人。

先传几篇09年发表的文章丰富下页面吧，360 浏览器的那一篇就不传了。