Javascript自解码机制

发表于 | 分类于 | 热度:
本文字数: 402 | 阅读时长 ≈ 1 分钟

0x01 Javascript形式的编码

  • Unicode形式
    \uH(十六进制)

  • 普通十六进制
    \xH

  • 纯转义
    \’、\”、\<、>这样在特殊字符之前加\进行转义

0x02 Javascript自解码机制

在javascript执行之前,会进行自解码,将上述形式的编码转换为原始符号

譬如:

1
<script>document.write('\x3c\x69\x6d\x67\x20\x73\x72\x63\x3d\x23\x20\x6f\x6e\x65\x72\x72\x6f\x72\x3d\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29\x3e');</script>

上面编码的代码是<img src=# onerror=alert(‘xss’)>
虽然编码了,但是还是会执行alert()

本文标题:Javascript自解码机制

文章作者:Pino-HD

发布时间:2018年05月31日 - 16:05

最后更新:2018年05月31日 - 16:05

原始链接:https://pino-hd.github.io/2018/05/31/Javascript自解码机制/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

坚持原创技术分享,您的支持将鼓励我继续创作!