Gmail

2019年8月,研究人员发现了AMP4Email的XSS漏洞,并提交给Google。该XSS漏洞是浏览器漏洞利用DOM Clobbering的一个实例。
由于在从常规网页传递的消息中缺乏适当的origin检查,网页能够通过Read&Write Chrome扩展(易受攻击的版本1.8.0.139)调用敏感的后台API。这些API中的很多都允许危险的操作,这些操作并不意味着可以通过互联网上的任意网页进行调用。