HTML自解码机制

发表于 | 分类于 | 热度:
本文字数: 353 | 阅读时长 ≈ 1 分钟

0x01 HTML形式的编码

  • 进制编码

    &#xH;(十六进制格式)、&#D;(十进制形式)、最后的分号(;)可以不要

  • HTML实体编码

0x02 自解码机制

当用户的输入出现在HTML标签内,js执行之前会进行自解码

例如

1
<input type="button" id="btn" value="exec" onclick="document.write('&lt;script&gt;alert(1)&lt;/script&gt;')" />

这段代码在执行的过程中,会将html实体编码自解码为之前的符号,因此这段代码会执行alert(1)的弹窗

本文标题:HTML自解码机制

文章作者:Pino-HD

发布时间:2018年05月31日 - 15:05

最后更新:2018年05月31日 - 15:05

原始链接:https://pino-hd.github.io/2018/05/31/HTML自解码机制/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

坚持原创技术分享,您的支持将鼓励我继续创作!