關閉腳本導致錯誤的XSS錯誤的IE

Question

我們這是與其他公司合作的平臺，thouse公司網站獲得運行結束的標籤與

window.open('#','ociCallWindow','width=800,height=600,resizable=yes,scrollbars=yes,toolbar=no,location=no,directories=no,status=no,menubar=no,copyhistory=no'); 

現在，這將打開一個網站的哪些職位數據回處理程序通過javascript autosubmit表單處理。
該處理程序生成一個頁面，該頁面應關閉頁面並將系統中其他位置的其他頁面重定向。

那麼它IE開始表現他的湖沖洗，並大聲疾呼XSS攻擊我必須禁用XSS才能使其工作。就像它在 http://www.sevenforums.com/tutorials/169672-internet-explorer-cross-site-scripting-xss-filter-turn-off.html 上描述一樣，然後一切正常。

但我有一個somhow繞過了xss警報。

這裏是一個被genarated我們網站的代碼：我客串IL份額在此我insigts

<html> 
<head> 
<script type="text/javascript" src="/dtagent55_bejnp3_5160.js" data-dtconfig="rid=RID_895225973|rpid=315099290|domain=eprocure.at|tp=500,50,0|bandwidth=300"></script><script type="text/javascript">var NREUMQ=NREUMQ||[];NREUMQ.push(["mark","firstbyte",new Date().getTime()]);</script> 
<script language="JavaScript" src="js/catalog.js"></script> 
<link rel="STYLESHEET" type="text/css" href="css/catalog-mondi.css"><title>TESTSYSTEM: mondizone</title> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"> 
<script type="text/javascript" src="js/catalog.min.js?rnd=2.69.2"></script> 
</head> 

      <body class='backgrd' leftmargin='0' topmargin='0' marginwidth='0' marginheight='0' text='#000000' link='#424E91' vlink='#7979BD' alink='#336633'> 

      <table> 
       <tr> 
        <td> 
         Die Artikel wurden erfolgreich in Ihren Warenkorb übernommen. <br />Falls dieses Fenster nicht automatisch geschlossen wird, können Sie dieses Fenster jetzt schließen.     </td> 
       </tr> 
      </table> 

         <script type="text/javascript"> 
            if (opener || window.opener || self.opener) { 
         var myopener = getOpener(); 

         myopener.document.dispmenu.target = ""; 

              myopener.document.dispmenu.xxxxxx_errors.value = '{serialized object... ye i know...}'; 
             myopener.document.dispmenu.dxxx.value = 'cart' ; 
         myopener.document.dispmenu.submit(); 
        } 
        else { 
         alert('Das Elternfenster wurde bereits geschlossen oder es kann nicht darauf zugegriffen werden. Die Artikel wurden trotzdem übernommen.'); 
        } 
        window.close(); 
           </script> 
       <script type="text/javascript">if(!NREUMQ.f){NREUMQ.f=function(){NREUMQ.push(["load",new Date().getTime()]);var e=document.createElement("script");e.type="text/javascript";e.async=true;e.src="https://d1ros97qkrwjf5.cloudfront.net/42/eum/rum.js";document.body.appendChild(e);if(NREUMQ.a)NREUMQ.a();};NREUMQ.a=window.onload;window.onload=NREUMQ.f;};NREUMQ.push(["nrf2","beacon-1.newrelic.com","62a9b17b88",1115503,"MgZbNUAFCBVQVxFcCwtMbBNbSwUHRRsKVg0XBk0UQApIFllACFk=",0,1668,new Date().getTime()]);</script> 
</body> 
    </html> 

Answer 1

。

雖然我沒有做任何明確的進展，我想出了一個普遍的問題，導致這種情況。

就我而言，我們在經歷艱辛的數據整理之後，對外部網站進行了OCI調用，我們發現我們的網站流量工具負責。新文件是一個服務器端插件，它在所有http調用中注入一個crosssite腳本腳本。最糟糕的是它通常在頁面加載結束時不可見。當頁面關閉的頁面有自己的跟蹤工具時也會出現問題。在通常情況下，你必須使用Fiddler2來緩存這些該死的東西！ debuggint工具往往會錯過這段代碼，不知道爲什麼。