是否可以暂时禁用测试目的在现代浏览器中的XSS保护？

我试图解释给同事时，一个将其发送到一个XSS脆弱的Web表单会发生什么：

<script>alert("Danger");</script>

然而，似乎器和Firefox是防止XSS弹出。 我可以禁用此保护，所以我可以完全看到我的行动的结果如何？

在Chrome中有与您可以启动浏览器的标志。 如果您使用此标志启动浏览器，你可以做你想做的：

--disable-web-security 

对于那些不知道是谁的便利....

“C：\ Program Files文件（x86）的\谷歌\镀铬\应用\的chrome.exe” --args - 禁用网络安全

使用上面的快捷方式路径

如果你只是wan't禁用XSS你应该使用--disable-xss-auditor 。 一个完整的说法是这样的：

“C：\ Program Files文件（x86）的\谷歌\镀铬\应用\的chrome.exe” --disable-XSS-审计

确保所有的chrome.exe进程运行的命令，否则将没有任何效果之前被杀死。 你也可以传递更多的参数，如果你愿意的话，比如我经常使用代理的说法，因为我不想让我的整个系统的代理。

“C：\ Program Files文件（x86）的\谷歌\镀铬\应用\的chrome.exe” --disable-XSS-审计--proxy服务器= 127.0.0.1：8080

您可以将用户重定向到另一个本地网页表单提交时，打印感染的数据。 Chrome将无法检测到。

提示：您可以使用会话/ Cookie存储的2页之间的感染病毒的数据。

例如在PHP中：

的index.php

<?php    
    setcookie('infected', $_POST['infected']);

    if($_POST['infected'])
        header('location: show.php');
?>

<form action="index.php" method="POST" />
    <p>
        Username: <input type="text" name="infected" />
        <input type="submit" value="Add Comment" />
    </p>
</form>

show.php

echo $_COOKIE['data'];

在使用禁用的说法暂时？ 在有限的测试，似乎是永久性的。 XSS-审计仍然是Chrome浏览器窗口禁用开始没有任何XSS审核员的说法。 要重新开启使用 “C：\ Program Files文件（x86）的\谷歌\镀铬\应用\的chrome.exe” --enable-XSS-审计

我知道这不会解决它，但它可能只需要在网站的消息，现在直到谷歌修复它。 类似“如果使用Chrome时可能会遇到......”。 我发现，内容事实上确实走在了数据库，即使我得到的错误画面。 我只是打回重新进入该网站。 然后到仪表板和它的存在。 疼痛的屁股，但周围的工作并不需要设置站点回来。

你并不需要禁用XSS防护。

如果您不能加载你的页面，那是因为你的“测试”已发现你需要修复的故障。

如果您有任何故障在你的页面，你就不会被XSS阻止。

修正你的HTML，使其正确地“逃脱”从URL所有输入数据，你不会看到XSS警告。

最好是不要禁用此，因为铬是通过你的HTML源代码比你的眼球是那些错误的更好看！