Ответ 1
В Chrome есть флаг, с которым вы можете запустить браузер. Если вы запустите браузер с помощью этого флага, вы можете сделать то, что хотите:
--disable-web-security
Как временно отключить защиту XSS в современных браузерах для тестирования?
Возможно ли временно отключить защиту XSS, найденную в современных браузерах, для тестирования?
Я пытаюсь объяснить сотруднику, что происходит, когда вы отправляете его в уязвимую веб-форму XSS:
<script>alert("Danger");</script>
Однако, похоже, что Chrome и Firefox предотвращают всплывающее окно XSS. Могу ли я отключить эту защиту, чтобы я мог полностью увидеть результаты своих действий?
Ответы
Ответ 2
Для удобства тех, кто не знает....
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-web-security
Используйте приведенное выше как путь к ярлыку
Ответ 3
Если вы не хотите отключать XSS, вы должны использовать --disable-xss-auditor. Полный аргумент будет примерно таким:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-XSS-аудитор
Перед запуском команды убедитесь, что все процессы chrome.exe были убиты, или это не будет иметь никакого эффекта. Вы также можете передать больше аргументов, если хотите, например, я часто использую аргумент прокси, потому что я не хочу включать прокси для всей моей системы.
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-xss-auditor --proxy-server = 127.0.0.1: 8080
Ответ 4
Вы можете перенаправить пользователя на другую локальную веб-страницу при отправке формы и распечатать зараженные данные. Chrome не обнаружит этого.
Совет. Вы можете использовать сеансы/файлы cookie для хранения зараженных данных между двумя страницами.
Пример в PHP:
index.php
<?php
setcookie('infected', $_POST['infected']);
if($_POST['infected'])
header('location: show.php');
?>
<form action="index.php" method="POST" />
<p>
Username: <input type="text" name="infected" />
<input type="submit" value="Add Comment" />
</p>
</form>
show.php
echo $_COOKIE['data'];
Ответ 5
Является ли использование отключенного аргумента временным? При ограниченном тестировании он кажется постоянным. XSS-Auditor остается отключенным в окнах Chrome, запущенных без аргументов xss-auditor. Чтобы вернуться к использованию "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --enable-xss-auditor
Ответ 6
Я знаю, что это не исправляет, но может потребоваться только сообщение на сайтах, пока Google не исправит это. что-то вроде: "Если вы используете Chrome, вы можете испытать...". Я обнаружил, что даже при том, что я получаю экран с ошибками, что контент действительно поступает в базу данных. Я просто ударил, чтобы вернуться на сайт. Затем перейдите на приборную панель, и она есть. Боль в заднице, но это работа, которая не требует установки сайтов.
Ответ 7
Вам не нужно отключать защиту XSS.
Если вы не можете загрузить свою страницу, это потому, что ваше "тестирование" обнаружило ошибку, которую вам нужно исправить.
Если у вас нет ошибок на вашей странице, вы не будете заблокированы XSS.
Исправьте свой HTML-код, чтобы он "ускользал" все входные данные из URL-адреса, и вы не увидите предупреждений XSS.
Лучше не отключать это, потому что хром лучше просматривает ваш HTML-источник для этих ошибок, чем ваши глазные яблоки!