以浏览器解析机制来理解XSS载荷的编码转换

以浏览器解析机制来理解XSS载荷的编码转换

0x00 前言

之前在学习XSS的时候总感觉不是很系统,许多技巧背后原理都没有理解,光是会用罢了,如部分绕过编码技巧。
今天打算花时间来补补基础。

0x00 基础知识

HTML基础

常见的字符实体

部分具有特定名称的字符实体
而对于其他没有特定名称的实体来说:

  • 十进制:对应符号的Ascii的值前加上&#,后以;结尾
  • 十六进制:对应符号的Ascii的值换算成16进制前加上&#x,后以;结尾

注意:字符实体解码后得到的值为字符串型,HTML解析器只将其当做字符串文本处理。

阅读更多