Category Archives: security

刚才去虾米听歌时发现了一个XSS，测试时了解到了一个东西：Chrome和IE9中有了XSS防护（XSS filter）功能，而Firefox4中没有。 这个XSS页面是：http://www.xiami.com/song/play?ids=”></object><script>alert(/xss/)</script><!–/object_name/default/object_id/0 用不同浏览器访问这个页面后的情况是： Chrome会报错，XSS失败： Firefox4成功执行： IE9阻止了XSS，执行失败： google后知道了原因：Chrome有XSS防护功能，大致是如果一段脚本通过浏览器被发送给服务器，然后又原样返回，那么Chrome就认为是XSS，拒绝执行这段脚本；IE9也有类似机制，一旦检测到一段脚本可能是XSS就不执行；而悲剧的Firefox4却没有此类机制。 参考： 1. Refused to execute a JavaScript script. Source code of script found within request. 2. Cross-site scripting filter