從託管在本地文件系統上的文件啓用XSS

Question

我的文件系統上有HTML和JavaScript文件，用於正在開發的移動應用程序。將應用程序部署到移動設備時，這些文件將託管在那裏的本地文件系統中，其中來自file：// is not an issue的XSS。此應用程序的一個重要部分是將XHR POST請求發送到RESTful API。

看起來像XSS應該不是是瀏覽器的安全問題，如果提出請求的文件託管在本地文件系統而不是部署到Web服務器。

有誰知道瀏覽器擴展或配置更改，將啓用從本地文件系統託管的文件的XSS？

Answer 1

好吧，雖然你將不得不更改服務器和客戶端代碼一點點，不是很乾淨，你必須信任服務器，您可以加載數據，其中包含一個呼叫到一個javascript功能在你的頁面和一個大的字符串或作爲參數。 This似乎是一個很好的例子。

或者，您可以從本地網絡服務器提供文件並撥打the hostsfile和document.domain。

Answer 2

我發現了一個有用的鏈接，它幫助我從本地主機執行POST請求到另一個域。它是一個Firefox hack，允許來自本地主機託管的文件的XSS。這並不完美，但它有助於我開發這件事。