Могу ли я включить межсайтовый скриптинг в IE для любого / всех веб-сайтов, просто отключив XSS-фильтр, или это что-то более необходимое?

Question

Я хочу включить межсайтовый скриптинг для некоторых сайтов. В частности, я хочу отправить веб-форму на сторонний сайт, я установил целевой iframe для ответа веб-формы на дочерний iframe, теперь я хочу, чтобы мой код в главном окне извлекал содержимое веб-страницы ответа.

Правильно ли я полагаю, что могу выполнить вышеизложенное, просто отключив XSS-фильтр в Internet Explorer? Или что-то еще также требуется? Также как включить межсайтовый скриптинг в Firefox (для того же сценария?)

Answer 1

XSS-фильтр IE не защищает от XOM на основе DOM. Поэтому для выполнения полезной нагрузки javascript в разных доменах вы можете просто запустить eval() переменную запроса или использовать document.write().

Более распространенным подходом является использование «междоменного прокси». Главным образом потому, что этот подход обычно не представляет зияющую уязвимость, которая может быть использована для атаки на ваших пользователей.

Answer 2

Правильно ли я полагаю, что могу сделать вышеизложенное, просто отключив XSS-фильтр в Internet Explorer?

Нет. Фильтр XSS не несет ответственности за это ограничение.

Или что-то еще требуется для того же?

Невозможно разрешить запросы между источниками изнутри веб-страницы - ограничения запросов из разных источников являются фундаментальной частью модели веб-безопасности. Однако для разработки вы можете запустить Google Chrome с флагом --disable-web-security, чтобы вы могли отправлять запросы из разных источников. Это может быть полезно при разработке веб-приложений, где приложение должно получать доступ к API, размещенному в другом домене.