我的文件系统中有 HTML 和 JavaScript 文件,用于正在开发的移动应用程序。当应用程序部署到移动设备时,这些文件将托管在本地文件系统上,其中 XSS 来自 file://is not an issue。此应用程序的一个重要部分是将 XHR POST 请求发送到 RESTful API。
如果发出请求的文件托管在本地文件系统上而不是部署到网络服务器上,那么 XSS 似乎不应该是浏览器的安全问题。
是否有人知道浏览器扩展或配置更改会启用本地文件系统上托管的文件的 XSS?
【问题讨论】:
标签: javascript browser xss cross-domain
好吧,虽然您将不得不稍微更改服务器和客户端代码,但它不是很干净并且您必须信任服务器,您可以将数据加载为包含对函数的调用的 javascript在你的页面和一个大字符串左右作为参数。 This 似乎是一个很好的例子。
或者,您可以从本地网络服务器提供文件并使用the hostsfile 和document.domain。
【讨论】:
local.actualinstallation.com(在hostsfile 中)和实际服务器的域提供给本地服务的文件actualinstallation.com。然后在本地提供的文件中设置document.domain="actualinstallation.com"。
我找到了一个有用的链接,它帮助我执行从本地主机到另一个域的 POST 请求。这是一个Firefox hack,它允许来自本地主机上托管的文件的 XSS。它并不完美,但它帮助我开发了这个东西。
【讨论】: