無意間發現 Chrome 有針對 XSS 做保護機制。如果伺服器端什麼都沒有設定的時候, Chrome 會把這個機制叫出來,叫做「XSS Auditor」,預設開啟,以免被惡搞:
把關鍵字丟進 Google 餵食,發現不少人和我一樣想要試試看把它關掉。
方法是先把所有開啟的 Chrome 關掉,然後直接透過命令列下參數 --disable-xss-auditor ,以 Mac 為例:
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --args --disable-xss-auditor
啟動後的 Chrome 和一般的沒什麼兩樣,不過執行一樣的 XSS 時就會直接顯示出來告訴你成功了這樣:
試了一下 Safari 也有一樣的防衛機制,不過查了一下沒有查到類似的命令列用法。
文章標籤
全站熱搜
留言列表
日常 (10)
