Chrome Reflected XSSに対して完全に安全ですか？

いいえ、XSSフィルターは、サーバーから出力されたHTMLの入力にXSSコードが含まれているかどうかを調べるだけなので、.

たとえば、Chromeの場合、次の内容を含むURLでWebページにアクセスしていることがわかります。

_?q=<script>alert("XSS!")</script>
_

サーバーから返されたHTMLに次のものが含まれている場合：

_<p>You have searched for <b><script>alert("XSS!")</script>
_

このコードはリクエストに含まれている可能性が高いため、コードを無効化します。

ただし、コードがリクエストで見つからない場合、たとえば、アプリケーションが何らかの方法でエンコードされた入力を受け入れる場合、フィルターは、コードがリクエストに埋め込まれたXSSコードの結果であると理解できない場合があります。

WebKitの commit log に示されているように、最近Chromeのレンダリングエンジンが分岐するまで、URLのXSSコードと結果のXSS-の最も一般的なバイパスに対処しようとしています。 HTMLのコードは少し異なります。

特別な場合のこれらのルールがいずれも適用されない場合、XSSはそのまま残ります。たとえば、URLのBase64エンコードデータをデコードしていない場合、WebアプリケーションがBase64でエンコードされた入力を受け入れると、WebアプリケーションをXSSできる可能性があります。

例：

_?q=PHNjcmlwdD5hbGVydCgnWFNTIScpPC9zY3JpcHQ+
_

（_PHNjcmlwdD5hbGVydCgnWFNTIScpPC9zY3JpcHQ+_ is <script>alert("XSS!")</script>エンコードされたBase-64）、フィルタリングされていない場合、次のような応答HTMLになります。

_<p>You have searched for <b><script>alert("XSS!")</script>
_

さらに、エンコードされていないHTMLに埋め込まれていないデータでXSSが発生するのを防ぐことはできませんが、JavaScriptによって安全でない方法で処理されます。

たとえば、次のJavaScriptを含むページについて考えます。

_eval(location.hash.substring(1))
_

これにより、URLの_#_の後に続くすべてのコードが実行されますが、Chromeによって除外されません。

↪ この例はここで動作しています

↪ Base64を使用する別の例