28

这是来自 Chrome Inspector 的消息:

XSS Auditor 拒绝执行脚本, http://localhost/Disposable Working NOTAS.php 因为在请求中找到了它的源代码。由于服务器既未发送“X-XSS-Protection”也未发送“Content-Security-Policy”标头,因此启用了审核员。

...我的笔记本电脑上有几十个网站,这些网站用于我的大部分工作流程,在过去的几天里,在更新的 Chrome 改变了一些东西之后,几乎所有网站的 textareas 内容都是不再保存到文件中。

保存我所做的编辑的代码被统一破坏了;我输入新文本,单击保存,然后我的浏览器,而不是在我正在处理的网页的脚本中执行文件~编写子例程,只是打开一个新的空白页面。如果我然后点击后退按钮,textarea 仍然显示新添加的内容,但在文件中,没有附加任何更改。

4

3 回答 3

49

如果您想告诉 Chrome 禁用其 XSS 保护,您可以发送X-XSS-Protection一个值为0. 由于您似乎使用的是 PHP,因此您可以将其添加到在输出任何内容之前始终执行的位置:

header("X-XSS-Protection: 0");
于 2013-06-10T04:45:34.267 回答
17

如果您被 XSS Auditor 阻止,您应该在禁用它之前检查您的代码是否存在 XSS 漏洞。

如果您被 XSS Auditor 阻止,则很有可能您有 XSS 漏洞,只是没有意识到。如果您只是禁用 XSS 审核器,您将仍然容易受到攻击:它正在治疗症状,而不是潜在的疾病(根本原因)。

于 2014-05-05T16:55:44.460 回答
2

我最近在学习 XSS 时遇到了完全相同的问题。下面的屏幕截图显示了绕过 Chrome XSS Auditor 的 PHP 方法。

只需添加 -- header("X-XSS-Protection: 0");

在此处输入图像描述

于 2013-12-22T14:00:53.753 回答