开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在Ubuntu上暂时禁用chrome v68中的XSS Auditor

在Ubuntu上暂时禁用Chrome v68中的XSS Auditor，可以按照以下步骤进行操作：

打开终端，通过以下命令进入Chrome的配置目录：
打开终端，通过以下命令进入Chrome的配置目录：
使用文本编辑器打开"Default"文件夹中的"Preferences"文件：
使用文本编辑器打开"Default"文件夹中的"Preferences"文件：
在打开的文件中，找到以下行：
在打开的文件中，找到以下行：
在该行下方添加以下内容：
在该行下方添加以下内容：
保存并关闭文件。
重新启动Chrome浏览器，XSS Auditor将被禁用。

XSS Auditor是Chrome浏览器的一项安全功能，用于检测和防止跨站脚本攻击（XSS）。禁用XSS Auditor可能会降低浏览器的安全性，因此建议仅在特定情况下进行禁用，并在完成相关任务后重新启用。

请注意，以上操作仅适用于Chrome v68版本。对于其他版本的Chrome浏览器，可能需要进行不同的操作或查阅相关文档。

腾讯云提供了云服务器（CVM）产品，可在云端运行Ubuntu等操作系统。您可以通过腾讯云官网了解更多关于云服务器的信息：腾讯云云服务器

请注意，本答案仅供参考，具体操作步骤可能因个人环境和需求而有所差异。在进行任何系统配置更改之前，请确保您了解相关风险，并备份重要数据。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

你说安全就安全？对红芯浏览器的一次安全测试

近日，红芯浏览器“套壳”一事被网络舆论炒的沸沸扬扬。红芯浏览器被官方标榜为“安全、稳定、可控的企业浏览器”，其中“自主可控”一项已经被舆论所质疑，但是被官方放在第一项进行宣传的“安全”是否属实呢？

02

安全隐患，你对X-XSS-Protection头部字段理解可能有误

0x00. 引言我曾做过一个调查，看看网友们对关于X-XSS-Protection 字段的设置中，哪一个设置是最差的，调查结果令我非常吃惊，故有此文。网友们认为最差的配置是X-XSS-Protection: 0，其次是 X-XSS-Protection: 1; mode=block，反而X-XSS-Protection: 1 成了不是最差的配置了。在我看来（其他人也可能和我持有同样观点），X-XSS-Protection: 1 应该是最差的配置。在这篇文章中，我会和大家一起讨论有关X-XSS-Pr

08

轻松理解 X-XSS-Protection

首先我们来理解一下什么是“X-XSS-Protection”，从字面意思上看，就是浏览器内置的一种 XSS 防范措施。

00

有趣的cdn bypass CSP

最近在逛github的时候看到一个bypass csp的挑战，也是我最近才知道的一个新思路，一般人bypass csp都是通过允许域下的某个漏洞构造文件绕过，但是其实往往没人注意到cdn的问题。

03

Pown-CDB：用于自动化执行Chrome调试协议任务的工具

Pown CDB是一个Chrome调试协议实用程序。该工具的主要目标是将一些常见任务自动化的执行，以帮助从命令行调试Web应用，并主动监视和拦截HTTP请求和响应。这在渗透测试和其他类型的安全评估和调查期间非常有用。

02

Chrome XSS Auditor Bypass Using SVG

除了之前MK发布的一个bypass方法外（https://twitter.com/avlidienbrunn/status/486059626002395136），大牛们也陆续想出来一些针对性的绕过方法。我说的这个出自：http://www.thespanner.co.uk/2015/02/10/xss-auditor-bypass/

02

基于Chorme headless的xss检测实践

https://blog.formsec.cn/2018/07/12/%E5%9F%BA%E4%BA%8EChrome-headless%E7%9A%84XSS%E6%A3%80%E6%B5%8B/

04

新型任意文件读取漏洞的研究

除了之前MK发布的一个bypass方法外（https://twitter.com/avlidienbrunn/status/486059626002395136），大牛们也陆续想出来一些针对性的绕过方法。我说的这个出自：http://www.thespanner.co.uk/2015/02/10/xss-auditor-bypass/

02

从35c3CTF的filemanager题目中学到的一个小tips

再一次被国际赛血虐…. 真是太菜了。回到正题上来，看一次35c3的filemanger题目。题目应该还没有关：

02

pwnhub 改行做前端

题目说实话是完成了一半，后一半是无意中上车的，有一些迷…关于注入部分是后来才发现的。

01

浏览器安全一 / Chrome XSS Auditor bypass

（2017-08-14 更新，chrome57更新了xss auditor的拦截方式，之前的大量payload不能用了）

02

chromium最近几个版本的改动

Chrome 57 Beta: 1，css grid layout基本完成 2，Media Session API 3，视频全屏的时候锁住屏幕 4，setTimeout的性能大幅改进 5，Fetch API 支持.redirected attribute 6，padStart and padEnd 7，Service Worker Navigation Preload 8，Payment Request API 9，PaymentMethodData支持 basic-card 10，改进<event>属性 11，新增AudioContext.getOutputTimestamp api 12，开发者能发送WebAudio-specific事件，例如OfflineAudioCompletionEvent 与AudioProcessEvent. 13，XSS Auditor 功能加强

01

Python爬虫——Selenium

安装chromium 官方下载地址是http://chromedriver.chromium.org/downloads,注意需要和本地安装的Chrome浏览器版本相匹配。如当前ChoreDriver2.42支持的Chrome版本是v68到v70

01

一个神秘URL酿大祸，差点让我背锅！

我叫小风，是Windows帝国一个普通的上班族。上一回说到因为一个跨域请求，我差点丢了饭碗，好在有惊无险，我的职场历险记还在继续。

02

如何进行渗透测试XSS跨站攻击检测

国庆假期结束,这一节准备XSS跨站攻击渗透测试中的利用点,上一节讲了SQL注入攻击的详细流程,很多朋友想要咨询具体在跨站攻击上是如何实现和利用的,那么我们Sinesafe渗透测试工程师为大家详细的讲讲这个XSS是如何实现以及原理。

03

XSS学习笔记【二】

过滤，顾名思义，就是将提交上来的数据中的敏感词汇直接过滤掉。例如对"<script>"、""、""等标签进行过滤，有的是直接删除这类标签中的内容，有的是过滤掉之类标签中的on事件或是'javascript'等字符串，让他们达不到预期的DOM效果。

00

网站HTTP升级HTTPS完全配置手册

今天，所有使用Google Chrome稳定版的用户迎来了v68正式版首个版本的发布，详细版本号为v68.0.3440.75，上一个正式版v67.0.3396.99发布于6月13日，自Chrome 68起，当在加载非HTTPS站点时，都会在地址栏上明确标记为“Not Secure（不安全）”。

00

网站HTTP升级HTTPS完全配置手册

今天，所有使用Google Chrome稳定版的用户迎来了v68正式版首个版本的发布，详细版本号为v68.0.3440.75，上一个正式版v67.0.3396.99发布于6月13日，自Chrome 68起，当在加载非HTTPS站点时，都会在地址栏上明确标记为“Not Secure（不安全）”。

03

通过浏览器缓存来bypass nonce script CSP

最近看了去年google团队写的文章CSP Is Dead, Long Live CSP!，对csp有了新的认识，在文章中，google团队提出了nonce-{random}的csp实现方式，而事实上，在去年的圣诞节，Sebastian 演示了这种csp实现方式的攻击方式，也就是利用浏览器缓存来攻击，现在来详细分析下。漏洞分析原文查看：http://sirdarckcat.blogspot.jp/2016/12/how-to-bypass-csp-nonces-with-dom-xss.html

Bottle HTTP 头注入漏洞探究

今天看到两个头注入，一个ASP.NET的 http://seclists.org/bugtraq/2016/Dec/43 ，一个Bottle的。

01

XSS分析及预防

XSS（Cross Site Scripting），又称跨站脚本，XSS的重点不在于跨站点，而是在于脚本的执行。在WEB前端应用日益发展的今天，XSS漏洞尤其容易被开发人员忽视，最终可能造成对个人信息的泄漏。如今，仍然没有统一的方式来检测XSS漏洞，但是对于前端开发人员而言，仍是可以在某些细微处避免的，因此本文会结合笔者的学习和经验总结解决和避免的一些方案，并简要从webkit内核分析浏览器内核对于XSS避免所做的努力，了解底层基础设施对预防XSS所做的贡献。 XSS的种类和特点此处不详细讲解XSS的一

07

WebRTC溯源的几个实战利用场景

最近看到几篇有关WebRTC泄露源IP的文章，这个问题其实很多年前就有人提出来了，只是当时没咋引起重视；最近看又有师傅提起了，写篇文章简单记录分享下。

03

一次对 Tui Editor XSS 的挖掘与分析

TOAST Tui Editor是一款富文本Markdown编辑器，用于给HTML表单提供Markdown和富文本编写支持。最近我们在工作中需要使用到它，相比于其他一些Markdown编辑器，它更新迭代较快，功能也比较强大。另外，它不但提供编辑器功能，也提供了渲染功能（Viewer），也就是说编辑和显示都可以使用Tui Editor搞定。

04

如何在 Ubuntu 18.04 上安装 Opera 网络浏览器

Opera是世界上最流行的跨平台网络浏览器之一。它是一款为现代网络构建的快速，易用并且安全的网络浏览器。

02

0CTF h4x0rs.club1/2 复现

周末肛了一下0ctf，发现自己依旧那么菜。一道题也没解出来，成功的再一次拖了队伍后退。今天发现国外大佬们已经开始放wp了。于是自己学习一波，复现一下。先吐槽一波 h4x0rs.club1 Flag is biography of the administrator. There are more than one way to get this flag. h4x0rs.club-https://h4x0rs.club/game/ backend_www got backup at /var/www/h

07

XSS(跨站脚本攻击)相关内容总结整理

人们经常将跨站脚本攻击（Cross Site Scripting）缩写为CSS，但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，有人将跨站脚本攻击缩写为XSS。跨站脚本攻击（XSS），是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本，其导致的危害可想而知，如劫持用户会话，插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器、繁殖XSS蠕虫，甚至破坏网站、修改路由器配置信息等。

02

这一次，彻底理解XSS攻击

跨站脚本（Cross-site scripting，简称为：CSS, 但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，跨站脚本攻击缩写为XSS）是一种网站应用程序的安全漏洞攻击。

02

前端中存在的变量劫持漏洞

避免博客长草，水一篇文章，这篇文章中主要讲一个在前端中出现的有意思的变量劫持漏洞。

02

你真的知道如何正确清除 DNS 缓存吗？( 附全平台详细教程 )

DNS 缓存是一个临时数据库，用于存储有关以前的 DNS 查找的信息。换句话说，每当你访问网站时，你的操作系统和网络浏览器都会保留该域和相应 IP 地址的记录。这消除了对远程 DNS 服务器重复查询的需要，并允许你的 OS 或浏览器快速解析网站的 URL。

02

用lynis工具对linux系统进行安全审计

Lynis 是一个开源且功能强大的 auditing tool适用于类 Unix/Linux 操作系统。它扫描系统的安全信息、一般系统信息、已安装和可用的软件信息、配置错误、安全问题、没有密码的用户帐户、错误的文件权限、防火墙审计等。 Lynis是最值得信赖的自动化审计工具之一，用于在基于 Unix/Linux 的系统中进行软件补丁管理、恶意软件扫描和漏洞检测。这个工具很有用auditors, network 和 system administrators, security specialists, 和

02

如何使用 HTTP Headers 来保护你的 Web 应用

开发者可以利用 HTTP 响应头来加强 Web 应用程序的安全性，通常只需要添加几行代码即可。本文将介绍 web 开发者如何利用 HTTP Headers 来构建安全的应用。虽然本文的示例代码是 Node.js，但基本所有主流的服务端语言都支持设置 HTTP 响应头，并且都可以简单地对其进行配置。

01

Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击

为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过，百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关

05

0ctf2016 && sunshinectf2016 writeup

上个周末打了个叼叼的0ctf，结果“学院派”的愤怒就是看什么题目都是一篇篇文献…web狗简直虐了一地，顺便附上sunshine ctf misc300的writeup（一个没有web题目的比赛Orz）…

03

使用 Google Chrome 浏览器命令行导出网页为 PDF 文件

在开发过程中，我们经常需要将网页内容导出为 PDF 文件。传统方法如使用 wkhtmltopdf 工具虽然方便，但在 CSS 兼容性方面存在一些问题。幸运的是，Google Chrome 浏览器提供了一种更为强大和兼容性更好的方式来实现这一功能，即通过命令行使用其无头模式（Headless mode）来导出网页为 PDF 文件。本文将详细介绍如何在 Linux 系统上安装 Google Chrome 浏览器，并通过命令行调用实现网页导出为 PDF 的操作。

01

TCTF/0CTF2018 h4xors.club2 Writeup

本来早就该完成的club2 wp因为清明节的关系拖了一段时间，club2这个题目用了一很精巧的postMessage漏洞。

03

跨站脚本（XSS）备忘录-2019版

这是一份跨站脚本（XSS）备忘录，收集了大量的XSS攻击向量，包含了各种事件处理、通讯协议、特殊属性、限制字符、编码方式、沙箱逃逸等技巧，可以帮助渗透测试人员绕过WAF和过滤机制。

01

那些年我们一起学XSS - 11. Dom Xss进阶 [善变iframe]

1. 先来说说iframe的变化。 1.1 最好懂的，onload执行js <iframe onload="alert(1)"></iframe> 1.2 src 执行javascript代码 <iframe src="javascript:alert(1)"></iframe> 1.3 IE下vbscript执行代码 <iframe src="vbscript:msgbox(1)"></iframe> 1.4 Chrome下data协议执行代码 <iframe src="data:text/html,<script>alert(1)</script>"></iframe> Chrome 1.5 上面的变体 <iframe src="data:text/html,<script>alert(1)</script>"></iframe> 1.6 Chrome下srcdoc属性 <iframe srcdoc="<script>alert(1)</script>"></iframe> 2. 有兴趣的，可以一个一个的去测试上面的效果，注意浏览器的特异性哦。 3. 接着我们来看看具体的例子。

03

CRLF攻击响应截断

CRLF是CR和LF两个字符的拼接，它们分别代表”回车+换行”（\r\n）“，全称为Carriage Return/Line Feed”，十六进制编码分别为0x0d和0x0a，URL编码为%0D和%0A。CR和LF组合在一起即CRLF命令，它表示键盘上的”Enter”键，许多应用程序和网络协议使用这些命令作为分隔符。

03

渗透测试时，需要注意浏览器选项

渗透测试时，需要注意浏览器选项 From ChaMd5安全团队核心成员 tyomcat 渗透测试人员寻找漏洞，总是包括跨站脚本（XSS）攻击。最近，我观察到一个不寻常的XSS相关案例，学到一些新的东西。 XSS相关的测试过程中，我们插入“<script>alert(1)</script>”payload作为一个GET请求的参数和执行这个命令在Internet Explorer 11。我们希望看到我们的“恶意”警报，但浏览器返回“网页无法找到”，使我们认为我们的命令失败。接下来我们跑在Fi

渗透测试时，需要注意浏览器选项

渗透测试时，需要注意浏览器选项 From ChaMd5安全团队核心成员 tyomcat 渗透测试人员寻找漏洞，总是包括跨站脚本（XSS）攻击。最近，我观察到一个不寻常的XSS相关案例，学到一些新的东西。 XSS相关的测试过程中，我们插入“<script>alert(1)</script>”payload作为一个GET请求的参数和执行这个命令在Internet Explorer 11。我们希望看到我们的“恶意”警报，但浏览器返回“网页无法找到”，使我们认为我们的命令失败。接下来我们跑在Fi

07

如何在Ubuntu 18.04上安装和配置GitLab

GitLab CE或Community Edition是一个开源应用程序，主要用于托管Git存储库，以及其他与开发相关的功能，如问题跟踪。它旨在使用您自己的基础架构进行托管，并为您的开发团队提供部署内部存储库的灵活性，与用户交互的公共方式，或者为贡献者提供托管自己项目的方法。

09

HTTP响应头中可以使用的各种响应头字段

大佬教程：https://blog.csdn.net/flang6157/article/details/103287119

03

绿盟安全设备基础配置

0x00 WAF - 密码忘记重置通过设备的console 通过RJ45->serial转USB的线，插入到设备的S口，然后USB连接到电脑；之后利用XSHELL或者，SecureCRT等软件连接；特别注意这里是波特率设置为115200，然后选择连接的com口，回车输入conadmin，conadmin即可；

01

企业面试题: 如何理解：跨站脚本攻击(Cross Site Scripting)

跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。

02

【国庆快乐^^】如何在Atmail上构建XSS蠕虫

如何在Atmail上构建XSS蠕虫这篇博客文章由高级安全分析师Zach Julian撰写; 你可以在Twitter上与他联系。 Atmail是云端和本地电子邮件托管的受欢迎的提供商。作为DreamHost的atmail用户，在我工作期间，我看到了几个令人印象深刻的电子邮件跨站点脚本（XSS）攻击，我试图在他们的webmail前端找到一个xss漏洞。几个小时后我发现了一个有效载荷，但是想更进一步的利用他。最着名的XSS蠕虫病例在2005年影响了MySpace ，2014年的TweetDeck更

06

使用 chkconfig 和 systemctl 命令启用或禁用 Linux 服务的方法

对于 Linux 管理员来说这是一个重要（美妙）的话题，所以每个人都必须知道，并练习怎样才能更高效的使用它们。

05

一个基于Go的Telegram RSS Bot机器人，支持应用内阅读预览

说明：很久前博主介绍过一个Telegram RSS机器人→传送门，用起来还不错，就是安装对新手不太友好，这里就再介绍一个基于Go的Telegram RSS Bot，安装很快，也支持直接在Telegram应用内预览订阅文章，很方便，也是博主用过最好用的一个Telegram RSS机器人，这里就说下使用方法。

00

ModSecurity OWASP核心规则集的两种配置模式

OWASP规则的官方Github地址：https://github.com/coreruleset/coreruleset。

04

30 分钟理解 CORB 是什么

我当前的 chrome 版本是 v68，如果是 v66 或更低版本可能提示的警告信息略有不同。印象中只对 CORS 比较熟悉，CORB 是个什么鬼？好奇心迫使我想要了解一下它到底是什么，于是暂时把手头工作放下查了一些资料并花时间汇总了一下，就有了这篇文章。

03

如何在 Ubuntu 20.04 上安装和使用 Docker

Docker 是一个开源的容器化平台，它允许你构建，测试，并且作为可移动的容器去部署应用，这些容器可以在任何地方运行。一个容器表示一个应用的运行环境，并且包含软件运行所需要的所有依赖软件。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭