浏览器解码遵循这样一个规则:
html解析第一步执行,而JS解析和url解析则要根据情况而定
1、html解析器以状态机的方式运行,举例:<p>Hello</p>
状态流程为:Data—>Tag open—>Tag name—>Data—>Tag open—>Tag name—>Data
初始状态为Data state,当遇到<时,状态转为Tag open,读取到a-z某个字符会创建开始标签,此时状态转为Tag name,直到读取到>,状态又回到Data,接着读取到H会识别并生成一个字符,相应得会为Hello中的每个字符生成一个字符符号;之后遇到<,又转为Tag open,读取到“/”则创建一个闭合标签,并将状态变为Tag name,直到遇到>后回到Data state
注意:HTML解析器处于Data Stata、RCDATA State、Attribute Value State时,字符实体会被解码为对应的字符
举例:
<div><img src=x onerror=alert(4)></div>
其中<>会被解码为<>,但是不会触发JS执行,即不会弹窗
因为解码<时处于Data状态,不是Tag open状态,不进入Tag open就不会创建标签,只会将<作为数据来处理;没有对应的标签,故不会触发
总结:对特殊字符做html编码可以有效防御XSS攻击
2、原始文本元素
特性:该元素标签中的实体字符不会被HTML解码
标签:script、style
举例:<script>alert(1)</script>,标签中的实体字符不会被html解码,因此不会触发执行JS
3、RCDATA元素
特性 :html解析器遇到该元素标签时,会进入RCDATA状态,字符实体会被解析器解码
标签:textarea、title
举例:字符实体会被转码,但是不会执行JS,因为没有进入Tag open状态,其中<script>不会被解释为html标签
<textarea><script>alert(1)</script></textarea>
解码得到<textarea><script>alert(1)</script></textarea>
4、外部元素
<svg>遵循XML和SVG的定义
举例:可以弹窗,在XML中(会被解析成(
<svg><script>alert(1)</script>
JavaScript中有三个地方可以出现JS编码
1、字符串
<script>alert(“\u0031”);</script>
被编码的为1且是字符串,可以正常解码并触发执行
2、标识符
<script>\u0061\u006c\u0065\u0072\u0074(1);</script>
被编码的部分为alert字符,是函数名,属于在标识符中的情况,因此会被正常解码并执行JS
3、控制符
包含:单引号’ 双引号" 括号()等
特性:能被解码但不会被解释为控制字符,即失去特殊含义,只会被当作标识符或字符串的一部分
<script>alert\u0028″xss”);</script>
\u0028会被解码为( 但是不会触发JS,因为是控制符
1、URL的协议部分必须为ASCII字符,否则URL解析器的状态机将进入No Scheme状态
<a href="%6a%61%76%61%73%63%72%69%70%74:alert(1)"></a>
url编码部分为javascript,因为作为协议部分的"javascript"被编码,故不会触发JS
2、URL中的**😗*不能被以任何方式编码
<a href="javascript%3aalert(1)"></a>
:被url编码为%3a,导致url状态机进入No Scheme状态,故不会触发JS