关键信息 漏洞描述 - Chrome 使用背景属性的危重标记攻击允许数据外泄,尤其是当背景属性用在特定标签 ( , , , , , , , , ) 上时。 - 与 Chrome 已有的防止基于正线标记危险的技术并触的情况下允许跨域请求携带表单中的秘密令牌。 具体情况 - 版本:Chrome 79.0.3945.88 官方版本,64-bit。 - 项目问题纠正:项目问题已采用相关安全协议并减少漏洞风险。 漏洞细节 (Vulnerability Details) - 在网页构建中使用特定的标签的背景属性可导致跨域请求,越过现有的防护技术,将敏感信息从表格中暴露出来。 版本 (Version) - 指明了出现漏洞的具体 Chrome 版本为官方构建的 64 位版本 79.0.3945.88。 复现案例 (Reproduction Case) - 链接提供了一个复现此漏洞的示例网站,演示了当背景属性应用到表格标签时,如何产生包含表单秘密令牌的跨域请求。 报告人信息 - 报告人是 Luan Herrera,报告人邮箱被匿名为 "he...@gmail.com"。 相关人员 (Persons involved) - 指派给 fu...@chromium.org。 - 项目的三名核查人员分别匿名为 mb...@@chromium.org 和 sh...@chromium.org。 标签 - BLink>CSS。 关键信息提取人 - 劳伦登科。