無意間發現 Chrome 有針對 XSS 做保護機制。如果伺服器端什麼都沒有設定的時候, Chrome 會把這個機制叫出來,叫做「XSS Auditor」,預設開啟,以免被惡搞:

把關鍵字丟進 Google 餵食,發現不少人和我一樣想要試試看把它關掉。

方法是先把所有開啟的 Chrome 關掉,然後直接透過命令列下參數 --disable-xss-auditor ,以 Mac 為例:


/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --args --disable-xss-auditor

啟動後的 Chrome 和一般的沒什麼兩樣,不過執行一樣的 XSS 時就會直接顯示出來告訴你成功了這樣:

試了一下 Safari 也有一樣的防衛機制,不過查了一下沒有查到類似的命令列用法。


文章標籤
創作者介紹

旅行的記憶

repeat<')">< 發表在 痞客邦 PIXNET 留言(0) 人氣()