Sono abbastanza sicuro che la tua risposta si trova nel messaggio di errore.
The auditor was enabled as the server sent neither an 'X-XSS-Protection' nor 'Content-Security-Policy' header.
Suppongo che Google voglia essere superduper sicuro di voler consentire XSS. Prova a eseguire un server locale che restituisce una di queste intestazioni:
- X-XSS-Protection
- Content-Security-politica
Questo può essere piuttosto fastidioso se si sta tentando di fare una semplice dimostrazione usando un file creato localmente, ma è nel nostro interesse, immagino. Può darsi che Firefox / IE valga la pena di scattare se si vuole solo vedere / mostrare come funziona XSS, ma non si vuole configurare un server http.
EDIT: assicurati anche di chiudere tutte le istanze di chrome quando esegui una riga di comando.