blocks|key|429077|text|大多数浏览器允许您禁用该函数。例如，使用chrome，您需要使用|type|unstyled|depth|inlineStyleRanges|entityRanges|data|429078|C:\Program+Files+(x86)\Google\Chrome\Application\chrome.exe"+--args+--disable-web-security|offset|length|style|CODE|429079|对于Firefox，您必须在地址栏中键入about:config。然后，需要将browser.urlbar.filter.javascript设置为False。|429080|对于，单击Tools->+Internet选项，然后导航到Security。您需要设置自定义安全级别。滚动到底部，您会发现，启用XSS过滤器和禁用它。|entityMap^0|0|0|2I|0|K|C|13|W|0^^$0|@$1|2|3|4|5|6|7|M|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|N|8|@$D|O|E|P|F|G]]|9|@]|A|$]]|$1|H|3|I|5|6|7|Q|8|@$D|R|E|S|F|G]|$D|T|E|U|F|G]]|9|@]|A|$]]|$1|J|3|K|5|6|7|V|8|@]|9|@]|A|$]]]|L|$]]

Most browsers allow you to disable the function. For instance with chrome you need to start the browser using

<code>C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-web-security</code>

For Firefox you have to go type <code>about:config</code> in the address bar. Then you need to set the <code>browser.urlbar.filter.javascript</code> to False.

For Internet Explorer click Tools–>Internet Options and then navigate to the Security Tab. You need to set a custom security level. Scroll towards the bottom where you will find that Enable XSS filter and disable it.

blocks|key|429100|text|你最好的选择是来自OWASP的咒语：|type|unstyled|depth|inlineStyleRanges|entityRanges|data|429101|http://www.getmantra.com/|offset|length|429102|包含大量的渗透测试工具。此外，如果您需要添加/修改任何内容，也可以使用开源。|entityMap|0|LINK|mutability|MUTABLE|url^0|0|0|P|0|0^^$0|@$1|2|3|4|5|6|7|N|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|O|8|@]|9|@$D|P|E|Q|1|R]]|A|$]]|$1|F|3|G|5|6|7|S|8|@]|9|@]|A|$]]]|H|$I|$5|J|K|L|A|$M|C]]]]

Your best bet would be mantra from OWASP:

<a href="http://www.getmantra.com/">http://www.getmantra.com/</a>

Contains a myriad of tools for penetration testing out of the box. Also open source should you need to add/modify anything.

blocks|key|4531015|text|当像Burp这样的东西发现XSS漏洞时，我无法在使用类似TamperData的东西时验证它。|type|blockquote|depth|inlineStyleRanges|entityRanges|data|4531016|如果您已经在使用Burp查找漏洞，为什么不使用拦截代理功能修改请求并注入XSS有效负载？|unstyled|offset|length|4531017|📷|atomic|entityMap|0|LINK|mutability|MUTABLE|url|http://portswigger.net/burp/help/proxy_intercept.html|1|IMAGE|IMMUTABLE|imageUrl|https://i.stack.imgur.com/VbSCX.png|imageAlt^0|0|N|6|0|0|0|1|1^^$0|@$1|2|3|4|5|6|7|W|8|@]|9|@]|A|$]]|$1|B|3|C|5|D|7|X|8|@]|9|@$E|Y|F|Z|1|10]]|A|$]]|$1|G|3|H|5|I|7|11|8|@]|9|@$E|12|F|13|1|14]]|A|$]]]|J|$K|$5|L|M|N|A|$O|P]]|Q|$5|R|M|S|A|$T|U|V|-4]]]]

<blockquote>
 When something like Burp finds an XSS vulnerability, I can't ever verify it when using something like TamperData. 
</blockquote>

If you are already using Burp to find the vulnerability, why not use the <a href="http://portswigger.net/burp/help/proxy_intercept.html" rel="nofollow noreferrer">intercepting proxy functionality</a> to modify the request and to inject the XSS payload?

<a href="https://i.stack.imgur.com/VbSCX.png" rel="nofollow noreferrer"><img src="https://i.stack.imgur.com/VbSCX.png" alt="Burp Intercepting Proxy"></a>

blocks|key|429368|text|沙猫项目提供了许多笔式测试工具，比如lua中的脚本，更好地查看控制台和动态注入工具，以及许多其他好的惊喜。|type|unstyled|depth|inlineStyleRanges|entityRanges|offset|length|data|429369|它的一些独特特点包括：|429370|内置活动标头，每个选项卡都有一个专用缓存，并支持预览扩展|unordered-list-item|429371|Sandcat控制台-一个可扩展的命令行控制台；允许您在加载的页面中轻松地运行自定义命令和脚本。|429372|资源选项卡-允许您查看页面资源，如JavaScript文件和其他web文件。|429373|页面菜单扩展-允许您查看有关页面的详细信息和更多信息。|429374|extensions工具-+Sandcat附带了大量面向笔试的扩展.这包括一个模糊程序、一个脚本运行程序、HTTP+&+XHR编辑器、Request、Request功能|429375|截图|header-two|429376|📷|atomic|entityMap|0|LINK|mutability|MUTABLE|url|http://www.syhunt.com/sandcat/index.php|1|IMAGE|IMMUTABLE|imageUrl|https://i.stack.imgur.com/7nuiy.png|imageAlt^0|0|4|0|0|0|0|0|0|0|0|0|0|1|1^^$0|@$1|2|3|4|5|6|7|19|8|@]|9|@$A|1A|B|1B|1|1C]]|C|$]]|$1|D|3|E|5|6|7|1D|8|@]|9|@]|C|$]]|$1|F|3|G|5|H|7|1E|8|@]|9|@]|C|$]]|$1|I|3|J|5|H|7|1F|8|@]|9|@]|C|$]]|$1|K|3|L|5|H|7|1G|8|@]|9|@]|C|$]]|$1|M|3|N|5|H|7|1H|8|@]|9|@]|C|$]]|$1|O|3|P|5|H|7|1I|8|@]|9|@]|C|$]]|$1|Q|3|R|5|S|7|1J|8|@]|9|@]|C|$]]|$1|T|3|U|5|V|7|1K|8|@]|9|@$A|1L|B|1M|1|1N]]|C|$]]]|W|$X|$5|Y|Z|10|C|$11|12]]|13|$5|14|Z|15|C|$16|17|18|-4]]]]

There is the <a href="http://www.syhunt.com/sandcat/index.php" rel="nofollow noreferrer">Sandcat project</a> which provide a lot of pen testing tools, like scripting in lua, better view over the console and dynamic injection tools, and a lot of other good surprises.

Some of its unique features include:

<ul>
<li>Live HTTP Headers — built-in live headers with a dedicated cache per tab and support for preview extensions</li>
<li>Sandcat Console — an extensible command line console; Allows you to easily run custom commands and scripts in a loaded page</li>
<li>Resources tab — allows you to view the page resources, such as JavaScript files and other web files.</li>
<li>Page Menu extensions — allows you to view details about a page and more.</li>
<li>Pen-Tester Tools — Sandcat comes with a multitude of pen-test oriented extensions. This includes a Fuzzer, a Script Runner, HTTP &amp; XHR Editors, Request Loader, Request Replay capabilities</li>
</ul>

<h3>Screenshot</h3>

&nbsp;&nbsp;&nbsp;<img src="https://i.stack.imgur.com/7nuiy.png" alt="ss1">

I am getting started in testing web applications, and I am having trouble verifying vulnerabilities.

It seems all modern browsers have protections against things like XSS.

When something like Burp finds an XSS vulnerability, I can't ever verify it when using something like TamperData. The code gets sent to the page, but it never seems to execute.

Is there a browser that specifically allows things like XSS and CSRF to execute, for the purposes of testing?

What is a good browser for web application pen testing?

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

我刚开始测试web应用程序，我在验证漏洞方面遇到了困难。似乎所有现代浏览器都有针对XSS之类的保护措施。当像Burp这样的东西发现XSS漏洞时，我无法在使用类似TamperData的东西时验证它。代码被发送到页面，但它似乎从未执行过。是否有一个浏览器专门允许XSS和CSRF之类的东西执行，以便进行测试？

问什么是web应用程序笔试的好浏览器？
EN

回答 4

Security用户

Security用户

Security用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问什么是web应用程序笔试的好浏览器？EN

回答 4

Security用户

Security用户

Security用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问什么是web应用程序笔试的好浏览器？
EN