Сумасшедшая необходимость включить межсайтовый скриптинг - PullRequest
4 голосов
/ 22 марта 2012

Да, мне нужно включить межсайтовый скриптинг для внутреннего тестирования приложения, над которым я работаю. Я бы использовал переключатели Chrome disable-xss-auditor или disable-web-security, но похоже, что они больше не включены в сборку chrome:

http://src.chromium.org/svn/trunk/src/chrome/common/chrome_switches.cc

То, чего я в основном пытаюсь добиться, - это позволить приложению javascript, работающему локально на страницах, обслуживаемых Apache (также работающих локально), разрешать запуск сценариев с ресурса, запущенного на другом сервере в нашей сети.

Если не включить xss для Firefox, Chrome или моего наименее любимого - IE, будет ли способ запустить какой-то процесс прокси-сервера для изменения заголовков, чтобы xss мог произойти? Любой быстрый способ использовать переписывание мод Apache или что-то подобное, чтобы сделать это?

Опять же, это только для тестирования. В производственном процессе все эти сценарии запускаются с одного и того же сервера, поэтому даже подписывать их не нужно, но во время разработки и тестирования гораздо проще работать только с теми частями приложения, которые вас интересуют и не имеют для запуска остальных, требующих полной установки сервера приложений.

Ответы [ 2 ]

3 голосов
/ 22 марта 2012

Требуется не межсайтовый скриптинг (это тип уязвимости безопасности, при которой пользовательский ввод (например, с URL) внедряется в страницу таким образом, что сторонние скрипты могут быть добавлены черезlink).

Если вы просто хотите запустить скрипт на другом сервере, просто используйте абсолютный URI.

<script src="http://example.com/foo.js"></script>

Если вам нужно выполнить запросы Ajax к удаленному серверу,используйте CORS или запустите прокси для текущего источника.

Опять же, это только для тестирования

Просто для тестирования посмотрите на Чарльз Прокси .Это функция Map Remote позволяет (прозрачно) перенаправлять некоторые запросы на удаленный сервер (на основе сопоставления URL-адресов с подстановочными знаками).

3 голосов
/ 22 марта 2012

Вам нужна лишь небольшая сквозная служба, работающая на первом сервере, которая передает запросы на второй сервер и возвращает результаты, полученные на втором сервере.

Вы не говорите, на каком языке написана сторона сервера вашего приложения или какие данные передаются или возвращаются из вашего сервиса, поэтому я не могу быть более конкретным, но это действительно должно быть о 15 строк кода для написания сквозного сервиса.

...