我有两个问题:
如何让 Firefox 忽略X-XSS-Protection标题?我有一个发送X-XSS-Protection: 1标头的网站,我希望我的 Firefox 忽略该标头,因为它破坏了我反射的 XSS 测试。我知道 Chrome 有一个--disable-xss-auditor忽略它的指令,但我在任何地方都找不到如何在 Firefox 中执行相同操作。
如何禁用 Web 浏览器本身的 XSS 保护(Firefox + Chrome)。我现在不是在说来自服务器的标头,而是如何禁用针对反射 XSS 的内置 Web 浏览器保护?
这个问题很老,在评论中得到了回答,也许是时候关闭它了。您的问题的答案应该是:
引用 Neil McGuigan 的话,“Firefox 没有像 Chrome 和 IE 那样的 XSS 过滤器,因此它已经忽略了该标题”(链接)。与此同时,Chromium 也移除了他们的 XSS Auditor(链接)。
由于没有 XSS 保护之类的东西,您可能指的是自动 URL 编码,这是强制性的,不能禁用:
“所有不安全的字符必须始终在 URL 中编码”(RFC 1738)
“URI 生产者将本地编码转换为适合公共接口的编码,然后将公共接口编码转换为受限的 URI 字符集(保留、未保留和百分比编码)”(RFC 3986)