关闭脚本会在IE上导致错误的XSS错误

时间:2013-04-26 11:58:29

标签: internet-explorer tabs xss

我们有一个与其他公司合作的平台,thouse公司网站在一个选项卡中打开

 window.open('#','ociCallWindow','width=800,height=600,resizable=yes,scrollbars=yes,toolbar=no,location=no,directories=no,status=no,menubar=no,copyhistory=no');

现在,这会打开一个网站,通过javascript自动提交表单将数据发回到处理程序 此处理程序生成一个页面,该页面应关闭页面并将系统中的其他服务重定向到其他位置。

IE开始表现出湖水冲洗他并且大喊XSS攻击我必须禁用xss才能让它工作。就像它描述的那样 http://www.sevenforums.com/tutorials/169672-internet-explorer-cross-site-scripting-xss-filter-turn-off.html 然后一切正常。

但我有somhow来规避xss警报。

以下代码与我们的网站一起发布:

<html>
<head>
<script type="text/javascript" src="/dtagent55_bejnp3_5160.js" data-dtconfig="rid=RID_895225973|rpid=315099290|domain=eprocure.at|tp=500,50,0|bandwidth=300"></script><script type="text/javascript">var NREUMQ=NREUMQ||[];NREUMQ.push(["mark","firstbyte",new Date().getTime()]);</script>
<script language="JavaScript" src="js/catalog.js"></script>
<link rel="STYLESHEET" type="text/css" href="css/catalog-mondi.css"><title>TESTSYSTEM: mondizone</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<script type="text/javascript" src="js/catalog.min.js?rnd=2.69.2"></script>
</head>

            <body class='backgrd' leftmargin='0' topmargin='0' marginwidth='0' marginheight='0' text='#000000' link='#424E91' vlink='#7979BD' alink='#336633'>

            <table>
                <tr>
                    <td>
                        Die Artikel wurden erfolgreich in Ihren Warenkorb übernommen. <br />Falls dieses Fenster nicht automatisch geschlossen wird, können Sie dieses Fenster jetzt schließen.                 </td>
                </tr>
            </table>

                        <script type="text/javascript">
                                    if (opener || window.opener || self.opener) {
                        var myopener = getOpener();

                        myopener.document.dispmenu.target = "";

                                            myopener.document.dispmenu.xxxxxx_errors.value = '{serialized object... ye i know...}';
                                        myopener.document.dispmenu.dxxx.value = 'cart' ;
                        myopener.document.dispmenu.submit();
                    }
                    else {
                        alert('Das Elternfenster wurde bereits geschlossen oder es kann nicht darauf zugegriffen werden. Die Artikel wurden trotzdem übernommen.');
                    }
                    window.close();
                                </script>
                <script type="text/javascript">if(!NREUMQ.f){NREUMQ.f=function(){NREUMQ.push(["load",new Date().getTime()]);var e=document.createElement("script");e.type="text/javascript";e.async=true;e.src="https://d1ros97qkrwjf5.cloudfront.net/42/eum/rum.js";document.body.appendChild(e);if(NREUMQ.a)NREUMQ.a();};NREUMQ.a=window.onload;window.onload=NREUMQ.f;};NREUMQ.push(["nrf2","beacon-1.newrelic.com","62a9b17b88",1115503,"MgZbNUAFCBVQVxFcCwtMbBNbSwUHRRsKVg0XBk0UQApIFllACFk=",0,1668,new Date().getTime()]);</script>
</body>
    </html>

1 个答案:

答案 0 :(得分:0)

我猜这个与我分享我的遗嘱。

虽然我没有做出任何明确的进展,但我发现了导致这种情况发生的一般性问题。

在我的情况下,我们对一个外部网站进行了OCI调用,在我们发现我们的网站搜索工具负责的数据进行了痴迷之后。新文件是一个服务器端插件,它在所有的http调用中注入了一个crosssite脚本脚本。最糟糕的是,它通常在页面加载结束时不可见。当导致页面关闭的页面具有其自己的跟踪工具时,也会出现问题。一般来说,你必须使用Fiddler2来控制该死的东西! debuggint工具往往会错过这段代码,不知道为什么。

相关问题
最新问题