谷歌浏览器允许跨域origin,disable samesite,方便本地开发调试,测试csrf跨站请求伪造漏洞

写稿时间:2022年6月30日

犹记得两年前,测试csrf漏洞时得心应手。现如今,csrf已成历史

chrome,Firefox更新迭代到现在,已将跨域请求打到苟延残喘

苦了本地调试的开发人员,前端一个端口,后端一个端口,就跨域无法带cookie了

网上广为流传的开启跨域的方法,以以下命令启动chrome:

"C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="D:\ChromeDevUserData"

这会启动一个和你原本chrome互不干扰的浏览器,但目前实测最新版浏览器,依旧不能复现csrf,但是用以下增强版,似乎是能解决本地调试前后端时的跨域问题的

"C:\Program Files\Google\Chrome\Application\chrome.exe" --test-type --disable-site-isolation-trials --disable-web-security --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --user-data-dir="D:\ChromeDevUserData"

依旧不能复现csrf,想复现,只能使用旧版chrome

旧版chrome可以在这里直接下载:https://www.chromedownloads.net/chrome64win-stable/

如果不想用百度云盘,而且想在官网下载的话,可以这样操作

  1. 根据chrome版本号,找到内部的版本号

https://omahaproxy.appspot.com/

  1. 根据内部版本号,去下载离线包

https://commondatastorage.googleapis.com/chromium-browser-snapshots/index.html

亲测可用的版本:722274,19年12月的版本

选win64 zip使用上述增强参数启动即可


Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐