一个月前发现QQ邮箱漏洞：JavaScript跨站攻击与后来发布了QQ邮箱最新漏洞与微软ANI漏洞的利用！今天又发现了最新跨站利用方式！之前发现的漏洞现在都无效了，网上公布的一些QQ邮箱跨站漏洞经过测试也无效。现在公布此漏洞。要是有能力者可以去利用？测试就罢了！

看漏洞利用代码：<DIV style="xss:ex/*ss*/pression(alert('http://hi.baidu.com/ycosxhack'))"></DIV>，当收到含这段代码的邮件，打开时会出现下面这样的对话框：

这就说明漏洞利用成功，现在解释一下这个漏洞的利用方法：原来的代码是这样的<DIV style="xss:expression(alert('http://hi.baidu.com/ycosxhack'))"></DIV>，但是直接这样发送此代码，expression将被过滤为xxpression（QQ邮箱的特点哦，它喜欢将它认为不安全的单词的某个字母变为x）。以前使用的绕过方式都失败了，但是想到DIV标签中style中的代码的注释符为“/*注释内容*/”对吧？我就将expression用/*ss*/分割开，于是就成功了……

由于是注释符，浏览器自然是不解释的，所以构造好的代码最终将会成功运行。但是QQ邮箱在过滤代码时，就将此注释符算了进去，自然是发现不了expression了！就利用这点，QQ邮箱又出现可利用的跨站漏洞了！