説明
現在使用しているブラウザの XSS Auditor 機能が有効になっているかチェックします。
[Check XSS Auditor enabled] ボタンを押して alert が表示されれば、XSS Auditor 機能は無効になっています(無害なXSS用コードを使用しています)。
Chrome 78 (2019年8月) で XSS Auditor は削除されました。(参考:The Chromium Projects - XSS Auditor)
動作
- [Check XSS Auditor enabled] ボタンを押すと、 "
<script>alert(1)</script>" というJavaScriptコードが POSTパラメータにセットされ送信されます。 - 続いて、Webサーバーはそのコードをそのままこのページ上に出力します。
- XSS Auditor が有効になっているブラウザであれば、検知された旨の表示がされます(本ページの「スクリーンショット」を参照してください)。無効もしくは XSS Auditor が実装されていない場合は、ポップアップウィンドウが開き「1」が表示されます。
- "Disable XSS Auditor" にチェックを入れると、Webサーバーはこの機能を無効にするレスポンスヘッダをセットして返すため、XSS Auditor 機能を持ったブラウザでも検知が行われなくくなります。
テストフォーム
スクリーンショット
