Comments | udpn: ChromIE

udpn

ChromIE

Feb 12, 2014 23:07

Авторы Google Chrome потрясли меня сегодня своим интеллектом, последовав пути IE, и воткнув в обход W3C крайне раздражающую фичу в виде XSS Auditor. Я использую сервак с закрытыми исходниками, который ажаксом подтягивает код со скриптом, и где я не могу воткнуть нестандартный заголовок. Теперь у меня не работают скрипты. Спасибо, Google ( Read more... )

Comments 2

ex_juan_gan February 12 2014, 22:35:08 UTC

Да эта борьба против борцов с XSS невыигрышна. Всё равно какие-нибудь хакеры что-нибудь придумают, а браузники против этого поставят забор, и всё наши скрипты. Я уже устал бороться.

udpn February 13 2014, 10:24:58 UTC

Ну я вот воспользовался админскими правами, чтобы сделать таки XSS, а чтобы его протянуло, засунул CSS строкой в JS, всё собрал вместе и засунул картинкой на тот же сервер, чтобы same origin. Теперь ждём, когда таки догадаются не грузить JS, если сервер отдаёт неправильный mime-type (или нестандартный хидер X-This-Is-Really-Javascript, как обычно делают пидарасы).