利用mail.139.com，由于对邮件正文过滤不严,导致存在xss漏洞来触发浏览器去读取远端的js脚本,并且执行该脚本。该脚本能够在IE浏览器执行。 同时,经过分析发现,mail.139.com中发送邮件的功能存在CSRF弱点 可以通过Ajax技术获取发送邮件所需要的mid值。另外邮箱的“通信录 “中的联系人邮件可以直接通过javascr ipt取出。-Using mail.139.com, due to lax message body filtering, leading to xss