Comment désactiver temporairement la protection XSS dans les navigateurs modernes pour les tests?

est-il possible de désactiver temporairement la protection XSS des navigateurs modernes à des fins de test?

j'essaie d'expliquer à un collègue ce qui se passe quand on envoie ceci à un formulaire Web XSS-vulnerable:

<script>alert("Danger");</script>

cependant, il semble que Chrome et Firefox empêchent le popup XSS. Puis-je désactiver cette protection afin de voir pleinement les résultats de mes actions?

24
demandé sur richardkmiller 2012-10-17 08:12:17
la source

7 ответов

dans Chrome il y a un drapeau avec lequel vous pouvez démarrer le navigateur. Si vous démarrez le navigateur avec ce drapeau, vous pouvez faire ce que vous voulez:

--disable-web-security 
21
répondu Zachary K 2013-05-04 21:06:59
la source

Pour la commodité de ceux qui ne le savent pas....

"C:\Program fichiers (x86)\Google\Chrome\Application\chrome.exe" -- args -- disable-web-security

utilisez ce qui précède comme le chemin du raccourci

19
répondu Shawn Sim 2013-07-08 18:45:01
la source

si vous ne voulez pas désactiver XSS vous devez utiliser --disable-xss-auditor. Un argument complet serait quelque chose comme:

"C:\Program fichiers (x86)\Google\Chrome\Application\chrome.EXE" --désactiver-xss-vérificateur

assurez-vous que tout chrome.exe processus sont tués avant d'exécuter la commande ou elle n'aura aucun effet. Vous pouvez également passer plus d'arguments si vous le souhaitez, par exemple j'utilise souvent un argument proxy parce que je ne veux pas activer un proxy pour mon ensemble système.

"C:\Program fichiers (x86)\Google\Chrome\Application\chrome.EXE" --désactiver-xss-vérificateur --proxy-server=127.0.0.1:8080

8
répondu Ogglas 2015-11-12 14:10:30
la source

Vous pouvez rediriger l'utilisateur vers une autre page web locale lorsque le formulaire est soumis et d'imprimer les données infectées. Chrome ne le détectera pas.

Conseil: vous pouvez utiliser des sessions / cookies pour stocker les données infectées entre les 2 pages.

exemple en PHP:

index.php

<?php    
    setcookie('infected', $_POST['infected']);

    if($_POST['infected'])
        header('location: show.php');
?>

<form action="index.php" method="POST" />
    <p>
        Username: <input type="text" name="infected" />
        <input type="submit" value="Add Comment" />
    </p>
</form>

afficher.php

echo $_COOKIE['data'];
2
répondu Ahmed Sonbaty 2017-06-03 22:58:06
la source

c'Est l'utilisation de désactiver l'argument temporaire? Dans des essais limités, il semble permanente. XSS-L'auditeur reste handicapé dans Chrome, windows a démarré sans aucun argument XSS-auditor. To turn back on use "C:\Program fichiers (x86)\Google\Chrome\Application\chrome.exe" --enable-xss-vérificateur

0
répondu Eric 2017-05-12 17:03:43
la source

je sais que ce n'est pas le réparer, mais il peut juste besoin d'un message sur les sites pour l'instant jusqu'à ce que Google corrige. quelque chose comme, " si vous utilisez Chrome vous pouvez éprouver....". J'ai trouvé que même si j'obtiens l'écran d'erreur que le contenu va en fait dans la base de données. Je viens de répondre pour retourner sur le site. Ensuite, allez au tableau de bord et il est là. La douleur dans le cul mais est un travail autour qui n'a pas besoin de remettre les sites en arrière.

-1
répondu Eric 2017-04-07 19:07:31
la source

vous n'avez pas besoin de désactiver la protection XSS.

Si vous ne pouvez pas charger votre page, c'est parce que votre "test" a découvert une erreur, vous devez corriger.

si vous n'avez aucune erreur dans votre page, vous ne serez pas bloqué par XSS.

Corrigez votre HTML pour qu'il "échappe" correctement toutes les données d'entrée de L'URL, et vous ne verrez pas les Avertissements XSS.

il est préférable de ne pas désactiver cela, parce que chrome est meilleur à regarder à travers votre source HTML pour ceux les erreurs que vos yeux sont!

-14
répondu Anon Coward 2017-04-02 16:20:15
la source

Autres questions sur