更新： Apple 已修复漏洞，以下链接为后人保留，但不再显示任何异常。

几周前，Apple.com 及其 iTunes 站点上存在一个活跃的 XSS 漏洞。好吧，一位线人向我们发送了在 Apple iTunes 网站（在本例中为英国）上再次发现的完全相同的跨站点脚本攻击。结果，出现了一些相当有趣的 Apple iTunes 页面变体，也出现了一些非常可怕的变体，如上面的屏幕截图所示，登录页面接受用户名和密码信息，将此登录数据存储在外部服务器上，然后发送你回到 Apple.com。发送给我们的最烦人的变体试图将大约 100 个 cookie 塞到我的机器上，启动一个无限循环的 javascript 弹出窗口，每个弹出窗口中都嵌入了 Flash 文件，并在播放一些非常糟糕的音乐的同时对大约 20 个其他 iframe 进行了 iframed。

这里有一个相对无害的XSS URL变体，它是Google.com的iframe：

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

做自己的版本并不费力。无论如何，让我们希望苹果尽快解决这个问题。

附上的是提示者“WhaleNinja”（顺便说一句好名字）发送的链接的更多截图