Javascript 需要启用跨站点脚本吗

是的，我需要为正在处理的应用程序的内部测试启用跨站点脚本。我会使用Chrome的disable xss auditor或disable web security Switch，但看起来Chrome版本中不再包含这些开关：

我基本上想要实现的是，允许在Apache服务的页面上本地运行的javascript应用程序（也在本地运行）从网络上另一台服务器上运行的资源中运行脚本

如果无法为Firefox、Chrome或我最不喜欢的浏览器（IE）启用xss，有没有办法运行某种代理进程来修改头以允许xss发生？有没有什么快速的方法可以使用ApacheModRewrite或类似的方法来实现这一点

---

同样，这仅用于测试。在生产中，所有这些脚本都从同一台服务器运行，因此甚至不需要对它们进行签名，但在开发和测试期间，只在您所关心的应用程序的部分上工作要容易得多，而不必运行需要完全安装在应用程序服务器上的其余部分。

您需要的只是在第一台服务器上运行一个小的传递服务，将请求传递到第二台服务器，并返回从第二台服务器返回的结果

---

您没有说应用程序的服务器端使用什么语言编写，或者向服务传递或从服务返回什么类型的数据，因此我不能说得更具体，但编写直通服务实际上需要大约15行代码。

我们要求的不是跨站点脚本编写（这是一种安全漏洞，其中用户输入（例如来自URL）以可通过链接添加第三方脚本的方式注入页面）

---

如果您只想在不同的服务器上运行脚本，那么只需使用绝对URI即可

<script src="http://example.com/foo.js"></script>

如果需要对远程服务器执行Ajax请求，请在当前源服务器上使用或运行代理

同样，这仅用于测试

---

为了进行测试，请看。它的映射远程功能允许您（透明地）将一些请求转发到远程服务器（基于通配符URL匹配）.

你说得对。我使用Apache ProxyPass将外来脚本的请求发送到另一台服务器，因此浏览器从不知道它们来自不同的站点。很抱歉，标记你的答案花了这么长时间。我完全忘记了这个问题。“如果你只想在不同的服务器上运行脚本”也就是说，根据定义，跨站点脚本。@Physics Compute-不，不是。这正是这个短语听起来的意思。我建议您回到这个答案第一段的其余部分。或者。加载任何非相同来源的脚本都是跨站点脚本，即使是有意的。允许页面加载第三方脚本的浏览器，即使该漏洞是故意造成的。CORS和Cookie是独立的途径（和问题），跨站点脚本在加载后可以利用它们。@Physical Compute-否。请停止尝试重新定义XSS的含义。