Comment désactiver temporairement la protection XSS dans les navigateurs modernes pour les tests?
est-il possible de désactiver temporairement la protection XSS des navigateurs modernes à des fins de test?
j'essaie d'expliquer à un collègue ce qui se passe quand on envoie ceci à un formulaire Web XSS-vulnerable:
<script>alert("Danger");</script>
cependant, il semble que Chrome et Firefox empêchent le popup XSS. Puis-je désactiver cette protection afin de voir pleinement les résultats de mes actions?
7 réponses
dans Chrome il y a un drapeau avec lequel vous pouvez démarrer le navigateur. Si vous démarrez le navigateur avec ce drapeau, vous pouvez faire ce que vous voulez:
--disable-web-security
Pour la commodité de ceux qui ne le savent pas....
"C:\Program fichiers (x86)\Google\Chrome\Application\chrome.exe" -- args -- disable-web-security
utilisez ce qui précède comme le chemin du raccourci
si vous ne voulez pas désactiver XSS vous devez utiliser --disable-xss-auditor
. Un argument complet serait quelque chose comme:
"C:\Program fichiers (x86)\Google\Chrome\Application\chrome.EXE" --désactiver-xss-vérificateur
assurez-vous que tout chrome.exe processus sont tués avant d'exécuter la commande ou elle n'aura aucun effet. Vous pouvez également passer plus d'arguments si vous le souhaitez, par exemple j'utilise souvent un argument proxy parce que je ne veux pas activer un proxy pour mon ensemble système.
"C:\Program fichiers (x86)\Google\Chrome\Application\chrome.EXE" --désactiver-xss-vérificateur --proxy-server=127.0.0.1:8080
Vous pouvez rediriger l'utilisateur vers une autre page web locale lorsque le formulaire est soumis et d'imprimer les données infectées. Chrome ne le détectera pas.
Conseil: vous pouvez utiliser des sessions / cookies pour stocker les données infectées entre les 2 pages.
exemple en PHP:
index.php
<?php
setcookie('infected', $_POST['infected']);
if($_POST['infected'])
header('location: show.php');
?>
<form action="index.php" method="POST" />
<p>
Username: <input type="text" name="infected" />
<input type="submit" value="Add Comment" />
</p>
</form>
afficher.php
echo $_COOKIE['data'];
c'Est l'utilisation de désactiver l'argument temporaire? Dans des essais limités, il semble permanente. XSS-L'auditeur reste handicapé dans Chrome, windows a démarré sans aucun argument XSS-auditor. To turn back on use "C:\Program fichiers (x86)\Google\Chrome\Application\chrome.exe" --enable-xss-vérificateur
je sais que ce n'est pas le réparer, mais il peut juste besoin d'un message sur les sites pour l'instant jusqu'à ce que Google corrige. quelque chose comme, " si vous utilisez Chrome vous pouvez éprouver....". J'ai trouvé que même si j'obtiens l'écran d'erreur que le contenu va en fait dans la base de données. Je viens de répondre pour retourner sur le site. Ensuite, allez au tableau de bord et il est là. La douleur dans le cul mais est un travail autour qui n'a pas besoin de remettre les sites en arrière.
vous n'avez pas besoin de désactiver la protection XSS.
Si vous ne pouvez pas charger votre page, c'est parce que votre "test" a découvert une erreur, vous devez corriger.
si vous n'avez aucune erreur dans votre page, vous ne serez pas bloqué par XSS.
Corrigez votre HTML pour qu'il "échappe" correctement toutes les données d'entrée de L'URL, et vous ne verrez pas les Avertissements XSS.
il est préférable de ne pas désactiver cela, parce que chrome est meilleur à regarder à travers votre source HTML pour ceux les erreurs que vos yeux sont!