【教程】chrome关闭跨域策略cors、samesite,跨域带上cookie
谷歌浏览器允许跨域origin,disable samesite,方便本地开发调试,测试csrf跨站请求伪造漏洞。犹记得两年前,测试csrf漏洞时得心应手。苦了本地调试的开发人员-disable-site-isolation-trials --disable-web-security --disable-features=SameSiteByDefaultCookies,CookiesWithou
谷歌浏览器允许跨域origin,disable samesite,方便本地开发调试,测试csrf跨站请求伪造漏洞
写稿时间:2022年6月30日
犹记得两年前,测试csrf漏洞时得心应手。现如今,csrf已成历史
chrome,Firefox更新迭代到现在,已将跨域请求打到苟延残喘
苦了本地调试的开发人员,前端一个端口,后端一个端口,就跨域无法带cookie了
网上广为流传的开启跨域的方法,以以下命令启动chrome:
"C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="D:\ChromeDevUserData"
这会启动一个和你原本chrome互不干扰的浏览器,但目前实测最新版浏览器,依旧不能复现csrf,但是用以下增强版,似乎是能解决本地调试前后端时的跨域问题的
"C:\Program Files\Google\Chrome\Application\chrome.exe" --test-type --disable-site-isolation-trials --disable-web-security --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --user-data-dir="D:\ChromeDevUserData"
依旧不能复现csrf,想复现,只能使用旧版chrome
旧版chrome可以在这里直接下载:https://www.chromedownloads.net/chrome64win-stable/
如果不想用百度云盘,而且想在官网下载的话,可以这样操作
- 根据chrome版本号,找到内部的版本号
https://omahaproxy.appspot.com/
- 根据内部版本号,去下载离线包
https://commondatastorage.googleapis.com/chromium-browser-snapshots/index.html
亲测可用的版本:722274,19年12月的版本
选win64 zip使用上述增强参数启动即可
更多推荐
所有评论(0)