一部のサイトでクロスサイトスクリプティングを有効にしたい。具体的には、サードパーティのサイトにWebフォームを送信したいのですが、子iframeへのWebフォームの応答のターゲットiframeを設定しました。次に、メインウィンドウのコードで応答Webページのコンテンツを取得します。
Internet ExplorerでXSSフィルターを無効にするだけで上記を実行できると仮定して正しいですか?それとも何か他のものも必要ですか?また、Firefoxでクロスサイトスクリプティングを有効にするにはどうすればよいですか(同じシナリオの場合)。
IEのXSSフィルターは、 DOMベースのXSSから保護しません。したがって、ドメイン間でjavascriptペイロードを実行するには、単純eval()にリクエスト変数を実行するか、を使用しますdocument.write()。
より一般的なアプローチは、「クロスドメインプロキシ」を使用することです。主な理由は、このアプローチでは通常、ユーザーを攻撃するために使用される可能性のあるギャップのある脆弱性が導入されないためです。
Internet ExplorerでXSSフィルターを無効にするだけで上記を実行できると仮定して正しいですか?
いいえ。XSSフィルターはこの制限の責任を負いません。
それとも同じものに何か他のものが必要ですか?
Webページ内からクロスオリジンリクエストを有効にする方法はありません。クロスオリジンリクエストの制限は、Webセキュリティモデルの基本的な部分です。ただし、開発の場合は、フラグを付けてGoogle Chromeを起動--disable-web-securityし、クロスオリジンリクエストを作成できます。これは、アプリケーションが別のドメインでホストされているAPIにアクセスする必要があるWebアプリケーションの開発に役立ちます。