XSS Auditor が有効かどうかチェックする

説明

現在使用しているブラウザの XSS Auditor 機能が有効になっているかチェックします。

[Check XSS Auditor enabled] ボタンを押して alert が表示されれば、XSS Auditor 機能は無効になっています(無害なXSS用コードを使用しています)。

Chrome 78 (2019年8月) で XSS Auditor は削除されました。(参考:The Chromium Projects - XSS Auditor

動作

  1. [Check XSS Auditor enabled] ボタンを押すと、 "<script>alert(1)</script>" というJavaScriptコードが POSTパラメータにセットされ送信されます。
  2. 続いて、Webサーバーはそのコードをそのままこのページ上に出力します。
  3. XSS Auditor が有効になっているブラウザであれば、検知された旨の表示がされます(本ページの「スクリーンショット」を参照してください)。無効もしくは XSS Auditor が実装されていない場合は、ポップアップウィンドウが開き「1」が表示されます。
  4. "Disable XSS Auditor" にチェックを入れると、Webサーバーはこの機能を無効にするレスポンスヘッダをセットして返すため、XSS Auditor 機能を持ったブラウザでも検知が行われなくくなります。

テストフォーム



スクリーンショット

画面1. Chrome でのエラー画面
画面2. Microsoft Edge Dev ではコンソールにエラーが表示される
画面3. Safari ではコンソールにエラーが表示される

参考