Возможно ли временно отключить защиту XSS, найденную в современных браузерах, для тестирования?
Я пытаюсь объяснить сотруднику, что происходит, когда вы отправляете его в уязвимую веб-форму XSS:
<script>alert("Danger");</script>
Однако, похоже, что Chrome и Firefox предотвращают всплывающее окно XSS. Могу ли я отключить эту защиту, чтобы я мог полностью увидеть результаты своих действий?
В Chrome есть флаг, с которым вы можете запустить браузер. Если вы запустите браузер с помощью этого флага, вы можете сделать то, что хотите:
--disable-web-security
Для удобства тех, кто не знает....
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-web-security
Используйте приведенное выше как путь к ярлыку
Если вы не хотите отключать XSS, вы должны использовать --disable-xss-auditor. Полный аргумент будет примерно таким:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-XSS-аудитор
Перед запуском команды убедитесь, что все процессы chrome.exe были убиты, или это не будет иметь никакого эффекта. Вы также можете передать больше аргументов, если хотите, например, я часто использую аргумент прокси, потому что я не хочу включать прокси для всей моей системы.
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-xss-auditor --proxy-server = 127.0.0.1: 8080
Вы можете перенаправить пользователя на другую локальную веб-страницу при отправке формы и распечатать зараженные данные. Chrome не обнаружит этого.
Совет. Вы можете использовать сеансы/файлы cookie для хранения зараженных данных между двумя страницами.
Пример в PHP:
index.php
<?php
setcookie('infected', $_POST['infected']);
if($_POST['infected'])
header('location: show.php');
?>
<form action="index.php" method="POST" />
<p>
Username: <input type="text" name="infected" />
<input type="submit" value="Add Comment" />
</p>
</form>
show.php
echo $_COOKIE['data'];
Является ли использование отключенного аргумента временным? При ограниченном тестировании он кажется постоянным. XSS-Auditor остается отключенным в окнах Chrome, запущенных без аргументов xss-auditor. Чтобы вернуться к использованию "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --enable-xss-auditor
Я знаю, что это не исправляет, но может потребоваться только сообщение на сайтах, пока Google не исправит это. что-то вроде: "Если вы используете Chrome, вы можете испытать...". Я обнаружил, что даже при том, что я получаю экран с ошибками, что контент действительно поступает в базу данных. Я просто ударил, чтобы вернуться на сайт. Затем перейдите на приборную панель, и она есть. Боль в заднице, но это работа, которая не требует установки сайтов.
Вам не нужно отключать защиту XSS.
Если вы не можете загрузить свою страницу, это потому, что ваше "тестирование" обнаружило ошибку, которую вам нужно исправить.
Если у вас нет ошибок на вашей странице, вы не будете заблокированы XSS.
Исправьте свой HTML-код, чтобы он "ускользал" все входные данные из URL-адреса, и вы не увидите предупреждений XSS.
Лучше не отключать это, потому что хром лучше просматривает ваш HTML-источник для этих ошибок, чем ваши глазные яблоки!