漏洞标题：[高危] 地址栏URL欺骗漏洞

漏洞标题：[高危] 地址栏URL欺骗漏洞

【免费下载链接】browser-laptop [DEPRECATED] Please see https://github.com/brave/brave-browser for the current version of Brave 项目地址: https://gitcode.com/gh_mirrors/br/browser-laptop

影响版本

browser-laptop v0.25.2 - v0.26.1

复现步骤

1. 访问构造的恶意URL：brave://newtab/#javascript:alert(document.domain)
2. 观察地址栏显示为"brave://newtab/"而非实际执行的脚本URL

漏洞证明

[PoC视频链接或截图]

建议修复

1. 在js/urlutil.js中添加URL规范化校验
2. 限制newtab页面的JavaScript执行权限

【免费下载链接】browser-laptop [DEPRECATED] Please see https://github.com/brave/brave-browser for the current version of Brave 项目地址: https://gitcode.com/gh_mirrors/br/browser-laptop