是否可以暂时禁用现代浏览器中的XSS保护以进行测试?
我正在尝试向同事解释当将其发送到易受XSS攻击的网络表单时会发生什么:
<script>alert("Danger");</script>
然而,Chrome和Firefox似乎都在阻止XSS弹出窗口。我可以禁用此保护,以便完全看到我的操作结果吗?
答案 0 :(得分:22)
在Chrome中,有一个标志,您可以使用该标志启动浏览器。如果您使用此标志启动浏览器,则可以执行所需操作:
--disable-web-security
答案 1 :(得分:19)
为方便那些不懂的人......
“C:\ Program Files(x86)\ Google \ Chrome \ Application \ chrome.exe”--args --disable-web-security
使用以上作为快捷方式的路径
答案 2 :(得分:12)
If you only wan't to disable XSS you should use --disable-xss-auditor. A complete argument would be something like:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-xss-auditor
Make sure all chrome.exe processes are killed before running the command or it will have no effect. You can also pass more arguments if you wish, for example I often use a proxy argument because I don't want to enable a proxy for my entire system.
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-xss-auditor --proxy-server=127.0.0.1:8080
答案 3 :(得分:2)
您可以在提交表单时将用户重定向到另一个本地网页并打印受感染的数据。 Chrome无法检测到。
提示:您可以使用会话/ cookie在2页之间存储受感染的数据。
PHP示例:
的index.php
<?php
setcookie('infected', $_POST['infected']);
if($_POST['infected'])
header('location: show.php');
?>
<form action="index.php" method="POST" />
<p>
Username: <input type="text" name="infected" />
<input type="submit" value="Add Comment" />
</p>
</form>
show.php
echo $_COOKIE['data'];
答案 4 :(得分:1)
暂时使用disable参数吗?在有限的测试中它似乎永久。在没有任何xss-auditor参数的情况下启动的Chrome窗口中 XSS-Auditor保持禁用状态。要重新使用&#34; C:\ Program Files(x86)\ Google \ Chrome \ Application \ chrome.exe&#34; --enable-XSS-审计员
答案 5 :(得分:-1)
我知道这并没有解决它,但它可能只是需要在网站上留言,直到Google修复它。类似的事情,&#34;如果使用Chrome,您可能会遇到....&#34;。我发现,即使我得到内容确实进入数据库的错误屏幕。我回过头来回到网站。然后转到仪表板,它就在那里。屁股很痛苦,但这是一个不需要设置网站的工作。
答案 6 :(得分:-14)
您无需禁用XSS保护。
如果您无法加载您的网页,那是因为您的&#34;测试&#34;发现了你需要解决的错误。
如果您的网页没有任何错误,则不会被XSS阻止。
正确修复您的HTML以及#34;逃避&#34;来自URL的所有输入数据,您将看不到XSS警告。
最好不要禁用此功能,因为Chrome可以更好地查看HTML源代码中的错误,而不是您的眼球!