我想在Firefox上演示基於DOM「本地」的跨站腳本。 28.禁用urlbar過濾器 - Firefox 28
我對的index.php
<SCRIPT> var pos=document.URL.indexOf("jmeno=")+6; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT>
這個劇本,我想通過打開URL運行XSS
www.mydomain.com/index.php?jmeno=<script>alert(document.cookie)</script>
在IE11我只是在安全禁用XSS篩選器setings和腳本作品。
Altrought在Firefox中有解決方案禁用此過濾器:browser.urlbar.filter.javascript
在about:config
。此解決方案不起作用。腳本總是逃脫。
有沒有解決方法如何讓這個腳本在Firefox中工作?
我試圖添加'decodeURIComponent()'中的腳本: '' 但現在我得到錯誤「pos.decodeURIComponent不是函數」 – metjuf
'pos'是一個數字,字符串中的索引。你會解碼提取的子串。 – bobince