我的文件系统上有HTML和JavaScript文件,用于正在开发的移动应用程序。当应用程序部署到移动设备时,这些文件将托管在那里的本地文件系统中,其中来自file:// is not an issue的XSS。此应用程序的一个重要部分是将XHR POST请求发送到RESTful API。
如果发出请求的文件托管在本地文件系统上而不是部署到Web服务器上,那么XSS似乎应该不成为浏览器的安全问题。
是否有人知道将从本地文件系统上托管的文件启用XSS的浏览器扩展或配置更改?
答案 0 :(得分:1)
好吧,虽然你必须稍微更改服务器和客户端代码,但它不是很干净,你必须要信任服务器,你可以将数据加载为包含对函数调用的javascript在你的页面和一个大字符串左右作为参数。 This似乎是一个很好的例子。
或者,您可以通过本地网络服务器提供文件,并使用the hostsfile和document.domain来摆弄。
答案 1 :(得分:0)
我找到了一个有用的链接,帮助我执行从localhost到另一个域的POST请求。它是Firefox hack,允许来自localhost托管的文件的XSS。它并不完美,但它帮助我开发了这个东西。