XSS Auditor が有効かどうかチェックする

説明

現在使用しているブラウザの XSS Auditor 機能が有効になっているかチェックします。

[Check XSS Auditor enabled] ボタンを押してXSSが検知されれば有効になっています(無害なXSS用コードを使用しています)。

動作

  1. [Check XSS Auditor enabled] ボタンを押すと、 "<script>alert(1)</script>" というJavaScriptコードが POSTパラメータにセットされ送信されます。
  2. 続いて、Webサーバーはそのコードをそのままこのページ上に出力します。
  3. XSS Auditor が有効になっているブラウザであれば、検知された旨の表示がされます(本ページの「スクリーンショット」を参照してください)。無効もしくは XSS Auditor が実装されていない場合は、ポップアップウィンドウが開き「1」が表示されます。
  4. "Disable XSS Auditor" にチェックを入れると、Webサーバーはこの機能を無効にするレスポンスヘッダをセットして返すため、XSS Auditor 機能を持ったブラウザでも検知が行われなくくなります。

テストフォーム



スクリーンショット

Chrome でのエラー画面
画面1. Chrome でのエラー画面
Microsoft Edge Dev ではコンソールにエラーが表示される
画面2. Microsoft Edge Dev ではコンソールにエラーが表示される
Safari ではコンソールにエラーが表示される
画面3. Safari ではコンソールにエラーが表示される

参考