我可以通过简单地禁用 XSS 过滤器来在 IE 中为任何/所有网站启用跨站脚本吗？或者还需要什么？

Question

我想为某些站点启用跨站点脚本。具体来说，我想向第三方网站提交一个 Web 表单，我已经设置了 Web 表单对子 iframe 的响应的目标 iframe，现在我希望我的代码在主窗口中检索响应网页的内容。

我是否正确地假设我可以通过简单地禁用 Internet Explorer 中的 XSS 过滤器来执行上述操作？或者还需要其他东西吗？另外，如何在 Firefox 中启用跨站点脚本（对于相同的场景？）

Answer 1

IE 的 XSS 过滤器无法防御基于 DOM 的 XSS。因此，为了跨域执行 JavaScript 有效负载，您只需运行请求变量或使用 document.write() 即可。

更常见的方法是使用“跨域代理”。主要是因为这种方法通常不会引入可用于攻击用户的漏洞。

Answer 2

我是否正确地假设我可以通过简单地禁用 Internet Explorer 中的 XSS 过滤器来执行上述操作？

不。XSS 过滤器不负责此限制。

或者还需要其他东西吗？

无法从网页内启用跨源请求 - 对跨源请求的限制是 Web 安全模型的基本部分。但是，对于开发，您可以使用 --disable-web-security 标志启动 Google Chrome，以允许您发出跨源请求。这对于开发 Web 应用程序很有帮助，其中应用程序必须访问托管在另一个域上的 API。