关闭脚本导致错误的XSS错误的IE

Question

我们这是与其他公司合作的平台，thouse公司网站获得运行结束的标签与

window.open('#','ociCallWindow','width=800,height=600,resizable=yes,scrollbars=yes,toolbar=no,location=no,directories=no,status=no,menubar=no,copyhistory=no'); 

现在，这将打开一个网站的哪些职位数据回处理程序通过javascript autosubmit表单处理。
该处理程序生成一个页面，该页面应关闭页面并将系统中其他位置的其他页面重定向。

那么它IE开始表现他的湖冲洗，并大声疾呼XSS攻击我必须禁用XSS才能使其工作。就像它在 http://www.sevenforums.com/tutorials/169672-internet-explorer-cross-site-scripting-xss-filter-turn-off.html 上描述一样，然后一切正常。

但我有一个somhow绕过了xss警报。

这里是一个被genarated我们网站的代码：我客串IL份额在此我insigts

<html> 
<head> 
<script type="text/javascript" src="/dtagent55_bejnp3_5160.js" data-dtconfig="rid=RID_895225973|rpid=315099290|domain=eprocure.at|tp=500,50,0|bandwidth=300"></script><script type="text/javascript">var NREUMQ=NREUMQ||[];NREUMQ.push(["mark","firstbyte",new Date().getTime()]);</script> 
<script language="JavaScript" src="js/catalog.js"></script> 
<link rel="STYLESHEET" type="text/css" href="css/catalog-mondi.css"><title>TESTSYSTEM: mondizone</title> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"> 
<script type="text/javascript" src="js/catalog.min.js?rnd=2.69.2"></script> 
</head> 

      <body class='backgrd' leftmargin='0' topmargin='0' marginwidth='0' marginheight='0' text='#000000' link='#424E91' vlink='#7979BD' alink='#336633'> 

      <table> 
       <tr> 
        <td> 
         Die Artikel wurden erfolgreich in Ihren Warenkorb übernommen. <br />Falls dieses Fenster nicht automatisch geschlossen wird, können Sie dieses Fenster jetzt schließen.     </td> 
       </tr> 
      </table> 

         <script type="text/javascript"> 
            if (opener || window.opener || self.opener) { 
         var myopener = getOpener(); 

         myopener.document.dispmenu.target = ""; 

              myopener.document.dispmenu.xxxxxx_errors.value = '{serialized object... ye i know...}'; 
             myopener.document.dispmenu.dxxx.value = 'cart' ; 
         myopener.document.dispmenu.submit(); 
        } 
        else { 
         alert('Das Elternfenster wurde bereits geschlossen oder es kann nicht darauf zugegriffen werden. Die Artikel wurden trotzdem übernommen.'); 
        } 
        window.close(); 
           </script> 
       <script type="text/javascript">if(!NREUMQ.f){NREUMQ.f=function(){NREUMQ.push(["load",new Date().getTime()]);var e=document.createElement("script");e.type="text/javascript";e.async=true;e.src="https://d1ros97qkrwjf5.cloudfront.net/42/eum/rum.js";document.body.appendChild(e);if(NREUMQ.a)NREUMQ.a();};NREUMQ.a=window.onload;window.onload=NREUMQ.f;};NREUMQ.push(["nrf2","beacon-1.newrelic.com","62a9b17b88",1115503,"MgZbNUAFCBVQVxFcCwtMbBNbSwUHRRsKVg0XBk0UQApIFllACFk=",0,1668,new Date().getTime()]);</script> 
</body> 
    </html> 

Answer 1

。

虽然我没有做任何明确的进展，我想出了一个普遍的问题，导致这种情况。

就我而言，我们在经历艰辛的数据整理之后，对外部网站进行了OCI调用，我们发现我们的网站流量工具负责。新文件是一个服务器端插件，它在所有http调用中注入一个crosssite脚本脚本。最糟糕的是它通常在页面加载结束时不可见。当页面关闭的页面有自己的跟踪工具时也会出现问题。在通常情况下，你必须使用Fiddler2来缓存这些该死的东西！ debuggint工具往往会错过这段代码，不知道为什么。