Chrome 具有针对反射 XSS 攻击的默认保护。这不是沙盒可以解决的缺陷。该保护系统通过查看对 javascript 的传出请求并阻止该 javascript 在 http 响应中执行来工作。没有浏览器会阻止基于 DOM 的 XSS 或存储型 XSS。

与其他相比，Chrome 的保护是最弱的。IE 的 xss 过滤器不是很好，但比 Chrome 的要好一些。根据我的研究，我认为 NoScript 是迄今为止最好的。我通过利用内容不敏感绕过了 NoScript 的 XSS 过滤器，他们很快解决了这个问题。Chrome 和 IE 仍然遭受内容不敏感攻击。

微软表示，针对 IE 的内容不敏感攻击“不是漏洞”，他们永远不会修复这些问题。Chrome 已针对此问题打开了一个错误报告，但我已经有大约 6 个月没有看到任何活动了。所以chrome最终可能会修复它，也许。老实说，这两个都是可怕的供应商反应。总的来说，我发现 NoScript 和 Mozilla 对他们软件中的漏洞的反应最强烈，作为一名安全研究人员，与他们一起工作很愉快！