原文:http://www.mafutian.net/274.html
摘要】该网页无法正常运作,Chrome 在此网页上检测到了异常代码。为保护您的个人信息(例如密码、电话号码和信用卡信息),Chrome 已将该网页拦截。请尝试访问该网站的首页。ERR_BLOCKED_BY_XSS_AUDITOR
问题描述:我想做 XSS 测试,但是 Google 浏览器自身就带了 XSS 过滤机制,所以很多 xss 测试页面都会被 Google 浏览器给屏蔽掉,而我又不想使用其它的浏览器作测试,于是就有了这篇文章。
如下代码:
-
<html>
-
<body>
-
Display hash contents following...<br>
-
<script>
-
document.write(decodeURIComponent(location.hash));
-
</script>
-
</body>
-
</html>
当我们访问上面代码的网页的时候如:http://www.phantomjs.org/dom/target/test1.php#<a href="javascript:alert(1)">d</a>,这个时候 Google 浏览器会判断出该页面含有 xss 漏洞,从而将该页面拦截。如下图所示:
解决办法:在找到 Google 浏览器的安装目录然后这样将该位置记下来:
-
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-xss-auditor
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe 是我电脑上的安装目录,根据每个人电脑安装位置修改即可。
然后在桌面右击鼠标右键,创建快捷方式:在请输入对象的位置(T)中输入上面一串代码,即 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-xss-auditor,并点击下一步,键入快捷方式的名称:chrome_close_xss_filter.exe,然后点击完成即可。
这样我们就创建了一个没有 xss 过滤机制的 google 浏览器快捷方式,当我们需要运行不含有 xss 过滤机制的 google 浏览器的时候,要先把当前所有 google 浏览器运行的窗口关闭,然后点击该快捷方式,就能够运行了。
这样我们就可以成功的在 Google 浏览器中进行 xss 代码测试啦~