¡Hola! Como he hecho antes y también he leído en muchos sitios web, que simplemente escribo:
javascript:alert(document.cookie);
debería funcionar en cualquier página web. Pero ahora, no pude ejecutarlo. Lo he comprobado con firefox y chrome. ¿Por qué no es posible hacerlo?
javascript: las URL se han usado con frecuencia de manera maliciosa ("¡Hey! ¡Hay algo nuevo! Vaya a su bandeja de entrada de correo de Google y copie y pegue esto en la barra de direcciones") que las recientes versiones del navegador han tomado medidas para cambiar la forma en que funcionan.
En Chrome (v20 probado en OS X), una url copia y pegada "javascript: alert (document.cookie)" tiene la porción javascript: eliminada (MSIE 9 al parecer hace algo similar). Al volver a agregarlo manualmente, funciona como esperaba y muestra las cookies (disponibles para Javascript) de la página.
En Firefox, a partir de ~ Firefox 6.x, javascript: (y data :) las direcciones URL ya no heredan el contexto de seguridad del documento en la pestaña actual.
Vea Mozilla Bug 656433 - No permitir javascript: y datos: URL ingresadas en la barra de direcciones de la herencia del principal página cargada actualmente para obtener más información y un poco de debate.
Algunas alternativas a javascript: URLs:
Las herramientas del navegador, como la "Consola Web" de Firefox incorporada o "Scratchpad" se puede usar para inspeccionar y ejecutar Javascript en el contexto del documento actual.
Firebug es un complemento maravilloso para el navegador que ofrece Javascript Inspección / ejecución y más.
En Chrome, las herramientas de desarrollo y la consola de Javascript pueden ser muy útil.
Lea otras preguntas en las etiquetas xss javascript