[英]How to temporarily disable XSS protection in modern browsers for testing?
是否可以臨時禁用現代瀏覽器中的XSS保護以進行測試?
我試圖向同事解釋當將其發送到易受XSS攻擊的Web表單時會發生什么:
<script>alert("Danger");</script>
但是,Chrome和Firefox似乎都在阻止XSS彈出窗口。 我可以禁用此保護,以便完全看到我的操作結果嗎?
在Chrome中,有一個標志,您可以使用該標志啟動瀏覽器。 如果使用此標志啟動瀏覽器,則可以執行所需操作:
--disable-web-security
為方便那些不懂的人....
“C:\\ Program Files(x86)\\ Google \\ Chrome \\ Application \\ chrome.exe”--args --disable-web-security
使用以上作為快捷方式的路徑
如果您只想禁用XSS,則應使用--disable-xss-auditor
。 一個完整的論點是:
“C:\\ Program Files(x86)\\ Google \\ Chrome \\ Application \\ chrome.exe” - disable-xss-auditor
確保在運行命令之前殺死所有chrome.exe進程,否則它將無效。 如果您願意,也可以傳遞更多參數,例如我經常使用代理參數,因為我不想為整個系統啟用代理。
“C:\\ Program Files(x86)\\ Google \\ Chrome \\ Application \\ chrome.exe”--disable-xss-auditor --proxy-server = 127.0.0.1:8080
您可以在提交表單時將用戶重定向到另一個本地網頁並打印受感染的數據。 Chrome無法檢測到這一點。
提示:您可以使用會話/ cookie在兩頁之間存儲受感染的數據。
PHP中的示例:
的index.php
<?php
setcookie('infected', $_POST['infected']);
if($_POST['infected'])
header('location: show.php');
?>
<form action="index.php" method="POST" />
<p>
Username: <input type="text" name="infected" />
<input type="submit" value="Add Comment" />
</p>
</form>
show.php
echo $_COOKIE['data'];
使用disable參數是暫時的嗎? 在有限的測試中它似乎永久。 在沒有任何xss-auditor參數的情況下啟動的Chrome窗口中, XSS-Auditor保持禁用狀態 。 要重新使用“C:\\ Program Files(x86)\\ Google \\ Chrome \\ Application \\ chrome.exe”--enable-xss-auditor
我知道這不能解決問題但是現在可能需要在網站上留言,直到Google修復它。 類似於“如果使用Chrome,您可能會遇到......”。 我發現,即使我得到內容確實進入數據庫的錯誤屏幕。 我回過頭來回到網站。 然后轉到儀表板,它就在那里。 屁股上的痛苦,但是一個解決方案,不需要設置網站。
您無需禁用XSS保護。
如果您無法加載頁面,那是因為您的“測試”發現了您需要修復的錯誤。
如果您的頁面沒有錯誤,則不會被XSS阻止。
修復您的HTML,以便正確“逃避”URL中的所有輸入數據,您將看不到XSS警告。
最好不要禁用此功能,因為Chrome可以更好地查看HTML源代碼中的錯誤,而不是您的眼球!
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.