Включение XSS из файлов, размещенных в локальной файловой системе

Question

В моей файловой системе есть файлы HTML и JavaScript для мобильного приложения, которое находится в разработке. Когда приложение развернуто на мобильном устройстве, эти файлы будут размещены в локальной файловой системе, где XSS из файла: // не является проблемой . Важной частью этого приложения является отправка запросов XHR POST в API RESTful.

Похоже, XSS должен , а не быть проблемой безопасности для браузеров, если файлы, отправляющие запрос, размещены в локальной файловой системе, а не развернуты на веб-сервере.

Кто-нибудь знает о расширении браузера или изменении конфигурации, которое позволит использовать XSS для файлов, размещенных в локальной файловой системе?

Answer 1

Ну, хотя вам придется немного изменить код сервера и клиента, он не очень чистый, и вам придется доверять серверу, вы можете загрузить данные в виде JavaScript, который содержит вызов функциина вашей странице и большая строка или около того в качестве параметра. Этот кажется хорошим примером.

В качестве альтернативы, вы можете подавать файлы с локального веб-сервера и возиться с hostsfile и document.domain..

Answer 2

Я нашел полезную ссылку, которая помогла мне выполнить запросы POST от localhost к другому домену. Это взлом Firefox , который позволяет XSS из файлов, размещенных на локальном хосте. Это не идеально, но это помогает мне развить эту вещь.