当然，现在我们在利用这个漏洞的时候，还是主要让用户来触发一个超级链接，其实，
我们完全可以直接利用该漏洞来让用户的浏览器悄而无声地访问任意恶意网站，我们只需要
将 index.htm的代码修改为这个样子：

<html>
<title><iframe src=http://127.0.0.1/xss.htm width=0 
height=0></iframe></title>
作为测试代码
</html>

这段新的测试代码中，我们利用了 iframe 标签来引入其它网站的内容，而该框架的
小被显示为0个像素，于是用户看不到任何窗口，但是被引入的网页却被浏览器在后台打
了，保存上面新的测试代码，再次访问，然后查看“经常访问”，效果如图8所示。  

 图 8中的这个对话框就是被引入的网页http://127.0.0.1/xss.htm的内容，如果我们
在这里显示的不是一个对话框，而是其它的某种网页木马代码或者恶意执行脚本代码，那么
用户自己怎么都不会想到只是查看一下经常访问的网址内容，鼠标键盘什么都没有动，自己
就已经被恶意攻击了呢？
“珊瑚浏览器”的这个安全漏洞在表现形式上不是非常明显，但是在漏洞性质上属于一个常
见的 XSS 类型漏洞，很多国内外知名的浏览器在这个问题上都出现过漏洞。“珊瑚浏览器”
的这个 XSS漏洞，隐蔽性较强，可以说不容易被发现，这就意味着我们在日常的漏洞测试挖
掘工作中，需要认真细心，还记得我在《挖0day》一书中曾说过“好好阅读软件的说明书，
它是你挖掘漏洞的指南针”，这句话很重要。最后，本文旨在讨论技术，希望读者不要以此
文内容做任何违法行为，作者和本站概不负责。