原文:http://www.mafutian.net/274.html
摘要】該網頁無法正常運作,Chrome 在此網頁上檢測到了異常代碼。為保護您的個人信息(例如密碼、電話號碼和信用卡信息),Chrome 已將該網頁攔截。請嘗試訪問該網站的首頁。ERR_BLOCKED_BY_XSS_AUDITOR
問題描述:我想做 XSS 測試,但是 Google 瀏覽器自身就帶了 XSS 過濾機制,所以很多 xss 測試頁面都會被 Google 瀏覽器給屏蔽掉,而我又不想使用其它的瀏覽器作測試,於是就有了這篇文章。
如下代碼:
-
<html>
-
<body>
-
Display hash contents following...<br>
-
<script>
-
document.write(decodeURIComponent(location.hash));
-
</script>
-
</body>
-
</html>
當我們訪問上面代碼的網頁的時候如:http://www.phantomjs.org/dom/target/test1.php#<a href="javascript:alert(1)">d</a>,這個時候 Google 瀏覽器會判斷出該頁面含有 xss 漏洞,從而將該頁面攔截。如下圖所示:
解決辦法:在找到 Google 瀏覽器的安裝目錄然后這樣將該位置記下來:
-
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-xss-auditor
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe 是我電腦上的安裝目錄,根據每個人電腦安裝位置修改即可。
然后在桌面右擊鼠標右鍵,創建快捷方式:在請輸入對象的位置(T)中輸入上面一串代碼,即 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-xss-auditor,並點擊下一步,鍵入快捷方式的名稱:chrome_close_xss_filter.exe,然后點擊完成即可。
這樣我們就創建了一個沒有 xss 過濾機制的 google 瀏覽器快捷方式,當我們需要運行不含有 xss 過濾機制的 google 瀏覽器的時候,要先把當前所有 google 瀏覽器運行的窗口關閉,然后點擊該快捷方式,就能夠運行了。
這樣我們就可以成功的在 Google 瀏覽器中進行 xss 代碼測試啦~