23
È possibile disattivare temporaneamente la protezione XSS trovata nei browser moderni a scopo di test?Come disabilitare temporaneamente la protezione XSS nei browser moderni per i test?
Sto cercando di spiegare a un collega che cosa succede quando si invia l'accaduto a un modulo web-XSS vulnerabile:
<script>alert("Danger");</script>
Tuttavia, sembra che sia Chrome e Firefox impediscono il popup XSS . Posso disabilitare questa protezione in modo da poter vedere completamente i risultati delle mie azioni?
Non credo che qualsiasi browser potrebbe bloccare lo script nel caso in cui in realtà è servita come parte del codice HTML inviato dal server. – Delta
@Delta il browser di solito lo blocca se viene inviato dall'utente e anche restituito dal server, non se è appena inviato dal server. per esempio. 'MyPage.aspx? Id =
Per la comodità di coloro che non sanno ....
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --args --disable-web-sicurezza
utilizzare il sopra come il percorso del collegamento
fonte
2013-07-08 14:45:01
Funzionerà solo quando tutte le istanze di Chrome sono chiuse prima di avviare Chrome con questi comandi. Vedi http://stackoverflow.com/questions/17679399/does-disable-web-security-work-in-chrome-anymore – Timo002
Se wan't solo per disabilitare XSS si dovrebbe usare
--disable-xss-auditor
. Un argomento completo sarebbe qualcosa di simile:Assicurarsi tutti i processi chrome.exe vengono uccisi prima di eseguire il comando o non avranno alcun effetto. Puoi anche passare più argomenti se lo desideri, ad esempio utilizzo spesso un argomento proxy perché non voglio abilitare un proxy per tutto il mio sistema.
fonte
2015-11-12 11:10:30 Ogglas
Non è necessario disabilitare la protezione XSS.
Se non è possibile caricare la pagina, è perché il "test" ha rilevato un errore da correggere.
Se non ci sono errori nella pagina, non verrà bloccato da XSS.
Correggi il codice HTML in modo che "scarichi" correttamente tutti i dati di input dall'URL e non vedrai avvisi XSS.
È meglio non disabilitarlo, perché chrome è meglio guardare attraverso il tuo sorgente HTML per quegli errori che i tuoi occhi!
fonte
2017-04-02 13:20:15
A volte è necessario eseguire il debug della pagina e si desidera solo disabilitarla temporaneamente, questo è ciò che l'autore ha chiesto –
So che questo non risolve il problema ma potrebbe essere necessario un messaggio sui siti fino a quando Google non lo risolverà. qualcosa come "Se si utilizza Chrome si può sperimentare ....". Ho trovato che anche se ottengo la schermata di errore che il contenuto, in realtà, va nel database. Ho appena premuto per tornare nel sito. Poi vai al cruscotto ed è lì. Dolore nel culo, ma è un lavoro che non ha bisogno di ripristinare i siti.
fonte
2017-04-07 16:07:31 Eric
L'utilizzo di disable argument è temporaneo? Nei test limitati sembra permanente.XSS-Auditor rimane disattivato in Chrome windows avviato senza alcun argomento xss-auditor. Per tornare indietro utilizzare "C: \ Programmi (x86) \ Google \ Chrome \ Application \ chrome.exe" --enable-xss-auditor
fonte
2017-05-12 14:03:43 Eric
È possibile reindirizzare l'utente a un'altra pagina Web locale quando il modulo è inviato e stampa i dati infetti. Chrome non lo rileva.
Suggerimento: è possibile utilizzare sessioni/cookie per memorizzare i dati infetti tra le 2 pagine.
Esempio in PHP:
index.php
show.php
fonte
2017-06-03 19:58:06