web-dev-qa-db-fra.com

Comment désactiver temporairement la protection XSS dans les navigateurs modernes pour les tests?

Est-il possible de désactiver temporairement la protection XSS trouvée dans les navigateurs modernes à des fins de test?

J'essaie d'expliquer à un collègue ce qui se passe lorsque l'on envoie cela à un formulaire Web vulnérable à XSS:

<script>alert("Danger");</script>

Cependant, il semble que Chrome et Firefox empêchent la fenêtre contextuelle XSS. Puis-je désactiver cette protection afin que je puisse voir pleinement les résultats de mes actions?

javascripthtmlsecurityxss
33
richardkmiller

Dans Chrome il y a un indicateur avec lequel vous pouvez démarrer le navigateur. Si vous démarrez le navigateur avec cet indicateur, vous pouvez faire ce que vous voulez:

--disable-web-security
26
Zachary K

Pour la commodité de ceux qui ne savent pas ...

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-web-security

Utilisez ce qui précède comme chemin du raccourci

20
Shawn Sim

Si vous ne souhaitez pas désactiver XSS, vous devez utiliser --disable-xss-auditor. Un argument complet serait quelque chose comme:

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-xss-auditor

Assurez-vous que tous les processus chrome.exe sont supprimés avant d'exécuter la commande, sinon cela n'aura aucun effet. Vous pouvez également passer plus d'arguments si vous le souhaitez, par exemple j'utilise souvent un argument proxy parce que je ne veux pas activer un proxy pour l'ensemble de mon système.

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-xss-auditor --proxy-server = 127.0.0.1: 8080

14
Ogglas

Vous pouvez rediriger l'utilisateur vers une autre page Web locale lorsque le formulaire est soumis et imprimer les données infectées. Chrome ne détectera pas cela.

Astuce: vous pouvez utiliser des sessions/cookies pour stocker les données infectées entre les 2 pages.

Exemple en PHP:

index.php

<?php    
    setcookie('infected', $_POST['infected']);

    if($_POST['infected'])
        header('location: show.php');
?>

<form action="index.php" method="POST" />
    <p>
        Username: <input type="text" name="infected" />
        <input type="submit" value="Add Comment" />
    </p>
</form>

show.php

echo $_COOKIE['data'];
2
Ahmed Sonbaty

L'utilisation de l'argument de désactivation est-elle temporaire? Dans des tests limités, il semble permanent. XSS-Auditor reste désactivé in Chrome Windows a démarré sans aucun argument xss-auditor. Pour réactiver l'utilisation "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "--enable-xss-auditor

1
Eric