Question

这是来自Chrome Inspector的消息：

XSS Auditor拒绝执行脚本 http://localhost/Disposable Working NOTAS.php 因为它的源代码是在请求中找到的。审核员已启用，因为服务器均未发送 “X-XSS-Protection”或“Content-Security-Policy”标题。

...我的笔记本上有几十个网站位于我的笔记本上的本地主机，我用它是我工作流程的一个重要部分，在过去的几天里，在更新的Chrome更改后，几乎所有网站的textareas '内容不再保存到文件中。

我保存的编辑代码被统一破坏;我输入新文字，点击在 save 和我的浏览器上，而不是在脚本中执行文件〜编写子程序对于我正在使用的网页，只需打开一个新的空白页面。如果我再击中后面按钮，textarea仍显示新添加的内容，但在文件中，没有任何更改正在追加。

Answer 1

如果您想告诉Chrome停用其XSS保护，您可以发送X-XSS-Protection标头，其值为0。由于您似乎正在使用PHP，因此您需要在输出任何内容之前将其添加到始终执行的地方：

header("X-XSS-Protection: 0");

Answer 2

如果您被XSS Auditor阻止，您应该在禁用之前检查您的代码是否存在XSS漏洞。

如果您被XSS Auditor阻止，那么您很可能遇到XSS漏洞并且没有意识到这一点。如果您只是禁用XSS Auditor，您将仍然容易受到攻击：它正在治疗症状，而不是潜在的疾病（根本原因）。

Answer 3

我最近在学习XSS时遇到了同样的问题。下面的屏幕截图显示了绕过Chrome XSS Auditor的PHP方法。

只需添加 - 标题（“X-XSS-Protection：0”）;

enter image description here