从托管在本地文件系统上的文件启用XSS

Question

我的文件系统上有HTML和JavaScript文件，用于正在开发的移动应用程序。将应用程序部署到移动设备时，这些文件将托管在那里的本地文件系统中，其中来自file：// is not an issue的XSS。此应用程序的一个重要部分是将XHR POST请求发送到RESTful API。

看起来像XSS应该不是是浏览器的安全问题，如果提出请求的文件托管在本地文件系统而不是部署到Web服务器。

有谁知道浏览器扩展或配置更改，将启用从本地文件系统托管的文件的XSS？

Answer 1

好吧，虽然你将不得不更改服务器和客户端代码一点点，不是很干净，你必须信任服务器，您可以加载数据，其中包含一个呼叫到一个javascript功能在你的页面和一个大的字符串或作为参数。 This似乎是一个很好的例子。

或者，您可以从本地网络服务器提供文件并拨打the hostsfile和document.domain。

Answer 2

我发现了一个有用的链接，它帮助我从本地主机执行POST请求到另一个域。它是一个Firefox hack，允许来自本地主机托管的文件的XSS。这并不完美，但它有助于我开发这件事。