無意間發現 Chrome 有針對 XSS 做保護機制。如果伺服器端什麼都沒有設定的時候， Chrome 會把這個機制叫出來，叫做「XSS Auditor」，預設開啟，以免被惡搞：

把關鍵字丟進 Google 餵食，發現不少人和我一樣想要試試看把它關掉。

方法是先把所有開啟的 Chrome 關掉，然後直接透過命令列下參數 --disable-xss-auditor ，以 Mac 為例：

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --args --disable-xss-auditor

啟動後的 Chrome 和一般的沒什麼兩樣，不過執行一樣的 XSS 時就會直接顯示出來告訴你成功了這樣：

試了一下 Safari 也有一樣的防衛機制，不過查了一下沒有查到類似的命令列用法。