最新【安全】web中的常见编码&浅析浏览器解析机制_web网站码源,涨姿势了

于 2024-05-09 07:13:37 发布
阅读量901 收藏 8
点赞数 19
分类专栏: 程序员 文章标签: 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84253894/article/details/138595179
版权

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

在 HTML 中不能使用小于号(<)和大于号(>),这是因为浏览器会误认为它们是标签。如果希望正确地显示预留字符,我们必须在 HTML 源代码中使用字符实体(character entities)。

  • HTML 实体是一段以连字号 (&)开头、以分号 (;)结尾的文本 (字符串),形如 j
  • 实体常常用于显示保留字符 (这些字符会被解析为 HTML 代码)和不可见的字符 (如“不换行空格”)
  • 应用场景:在前端,一般为了避免 XSS 攻击,会将 <> 编码为 < 与 >,这些就是 HTML 实体编码
  • 使用须知:在 HTML 转义时,仅仅只需要对六个字符进行编码:&、<、>、"、’ 和 `。 我们可以使用 he 库进行编码及转义

👉 在线Html实体编码解码 (config.net.cn)")

结合编码理解浏览器解析机制

<a href="%6a%61%76%61%73%63%72%69%70%74:%61%6c%65%72%74%28%31%29">aaa</a>

分析:a标签中的href属性放的是url,然后现在里面全是url编码,URL模块解码出来就是javascript:alert(1),因为是url解码后才能看到javascript所以最后没识别到这个协议,即alert没被执行
结果:执行失败

<a href="&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:%61%6c%65%72%74%28%32%29">

分析:先通过HTML解码得到javascript:%61%6c%65%72%74%28%32%29,再丢给URL模块,URL模块识别到Javascript协议,把:后边的内容解码后丢给js的模块去处理
结果:执行成功

<a href="javascript%3aalert(3)"></a>

分析:和①类似,URL识别到完整的javascript:后才能识别出这个协议
结果:执行失败

<div>&#60;img src=x onerror=alert(4)&#62;</div>

分析:&.#60(打了个.防止csdn给我解码了)是< ,&.#62是> HTML实体编码把这俩转化成尖括号后token就被消耗掉了所以并不会进入到标签开始状态,自然里面的内容也失效了
结果:执行失败

<textarea>&#60;script&#62;alert(5)&#60;/script&#62;</textarea>

分析:这个看起来和④差不多,但其实与都是RCDATA元素,即在这俩标签里面,不可能有别的标签存在,所以最后也会把<>变成实体编码<br/> 结果:执行失败

<textarea><script>alert(6)</script></textarea>

分析:这里与⑤做对照,就算<>不用html实体编码,最后也不会识别到

<button onclick="confirm('7&#39;);">Button</button>

分析:html实体解码后得到’7’然后有js的函数confirm就会丢给js模块去处理
结果:执行成功

<button onclick="confirm('8\u0027);">Button</button>

分析:confirm函数里面用了unicode编码,没别的编码了,所以会解析过后会丢给js模块去处理,但是unicode只能用来表示字符串和标识符,所以最后右边的’没有解析成功
结果:执行失败

<script>&#97;&#108;&#101;&#114;&#116&#40;&#57;&#41;&#59</script>

分析:html实体解析完后

<script>\u0061\u006c\u0065\u0072\u0074(10);</script>

分析:

<script>\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0031\u0029</script>

分析:类似于⑧,虽然看起来能解析出个alert(10)但是()不在标识符范围内,js解析执行失败
结果:执行失败

<script>\u0061\u006c\u0065\u0072\u0074(\u0031\u0032)</script>

分析:与⑪做比较,js模块解析出来alert(12)看起来没什么问题,但是这里12是两个unicode编码,意思就是字符串,字符串是必须要’'才能执行的
结果:执行失败

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84253894
关注
  • 19
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Planguru UI Kit app &amp; web ui .sketch 素材下载
04-20
《Planguru UI Kit:app与web界面设计的利器》 在UI设计领域,素材库是设计师们不可或缺的工具之一。Planguru UI Kit作为一款专为app和web界面设计打造的素材集,以其丰富的元素、清晰的布局和专业的设计风格,为...
浏览器编码问题
qq_53377571的博客
12-18 2117
浏览器编码
浏览器编码设置
热门推荐
道问苍天的博客
02-16 5万+
方法一:  网页-右键-编码,选择自动编码,没有就选择unicode(或utf-8或GBK或GB2312)。方法二:  右上角或,左键-工具(或更多工具)-编码,选择自动编码,没有就选择unicode(或utf-8或GBK或GB2312)。方法三(火狐浏览器):1、单击菜单栏查看(V)-文字编码(C),选择unicode。2、鼠标移至浏览器标题栏任意空白位置,单击右键出现快捷菜单,左键单击选择“菜...
字符编码的故事
Selfeasy的博客
03-14 467
本文摘自:http://www.liaoxuefeng.com/wiki/0014316089557264a6b348958f449949df42a6d3a2e542c000/001431664106267f12e9bef7ee14cf6a8776a479bdec9b9000 字符编码 我们已经讲过了,字符串也是一种数据类型,但是,字符串比较特殊的是还有一个编码问题。 因为计算机只能处理
安全web常见编码&amp浅析浏览器解析机制_web网站码源(2)
最新发布
2301_79058150的博客
04-12 1012
分析:a标签的href属性放的是url,然后现在里面全是url编码,URL模块解码出来就是javascript:alert(1),因为是url解码后才能看到javascript所以最后没识别到这个协议,即alert没被执行。分析:先通过HTML解码得到javascript:%61%6c%65%72%74%28%32%29,再丢给URL模块,URL模块识别到Javascript协议,把:后边的内容解码后丢给js的模块去处理。两种状态,因此八个二进制位就可以组合出256种状态,这被称为一个字节(byte)。
安全web常见编码&浅析浏览器解析机制
故余虽愚,卒获有所闻
07-25 2052
常见编码及其介绍以及在实例理解
PVcell_P&amp;O_MPPT.zip_P&amp;O_mppt p and o_p&amp;o法_光照变化MPPT_控制
07-15
标题的“PVcell_P&amp;O_MPPT.zip”指的是一个关于光伏电池(PV cell)最大功率点跟踪(Maximum Power Point Tracking, MPPT)的压缩文件,采用P&amp;O(Perturb and Observe)方法。P&amp;O法是一种广泛应用在光伏系统的...
常见Web安全漏洞的实际案例和攻防技术
02-15
### 常见Web安全漏洞的实际案例和攻防技术 #### 一、SQL注入攻击与防范 **实际案例** 在Web开发,SQL注入是一种常见安全威胁,它允许攻击者通过向应用程序发送恶意SQL代码来操纵数据库。例如,考虑一个简单的...
RevKit app &amp; web ui设计工具包 ui kit .sketch素材下载
04-20
RevKit是一款专为移动应用和Web界面设计的专业工具包,其设计目的是为了帮助UI/UX设计师高效、快速地创建出美观且用户友好的界面。这个工具包包含了一系列预设计的界面元素、组件和模板,全部以Sketch格式提供,...
MATLABnutralnetwork&amp;code&amp;data.rar_40_Neuralnetwork_amp_code_data
07-13
MATLAB神经网络源码及其数据,有40多个案例
编码(ASCII码、urlcode、html实体编码、unicode、utf-8,html状态码)
xk2844600795的博客
07-27 1742
编码是指将数字和字符通过一定的转换后使其能够在计算机进行展示的行为,因为计算机只能识别0,1的信号,所以输入计算机的信息都要转换0,1串的形式才能被计算机识别。在计算机编码的本质是用来保存或者传输信息,但是由于二进制编码太繁琐,所以人们在处理编码的时候通常用十进制或者十六进制表示,如我们所熟知的ASCII码就是用十进制表示字符。URL编码浏览器通用的一种编码形式,早期的URL编码是将scope限定在URL,对URL的一些字符进行编码
如何知道自己的网站是utf8还是gbk编码
qq_43557623的博客
12-29 3115
用过织梦建站的站长们应当都知道网站代码有utf8与gbk两种编码格式,如果两种编码混用网站就有可能出现乱码。 而我们在初次搭建网站的过程往往没有在意自己使用的是utf8编码格式还是gbk编码格式,导致自己在选用织梦模板、安装织梦插件时不知所措。 今天跟大家分享两种辨别自己网站编码格式的方法,帮助你知道自己的网站是utf8还是gbk编码。 第一种方法: 打开自己的网站,在网页空白区域点击鼠标右键,点击查看网站源代码。在网站开头一般会写有编码格式。 ...
字符编码常见字符集解析(ASCII、Unicode、UTF-8、GB2312等)
人工智能算法与工程实践
04-28 9868
- ASCII简单的7位编码适用于以英语为主的国家。 - Unicode是国际组织制定的可以容纳世界上所有文字和符号的字符编码方案。 - UTF-8是一种常见的基于Unicode字符集的编码方式。 - GB2312是面向简体文,BIG5是面向繁体文。 - Unicode还在其发展期,Unicode、GB2312以及BIG5等多种编码共存的状况可能在以后较长的时间内都会持续下去。
网络安全——web常见编码
m0_69582710的博客
07-25 372
编码(encode)和解码()是相当广泛的话题,设计计算机对信息处理的方式,常见于加解密,当然学习WEB也要了解一些常见编码,可在攻击使用编码绕过。
网页编码基础
jcyangzh的专栏
02-19 1357
四种编码 1.      网页文件存储时使用的编码,比如我们使用vim作为编码时,可以通过设置fileencoding属性来设置存储的文件使用的编码,set filetype=utf-8,即将文件保存为UTF-8编码。 2.      meta标签当设置的编码,有http-equiv=”Content-Type”content=”text/html; charset=utf-8”这样的属性,
网页的字符集编码与乱码(1)--确定字符集编码的四种方式及优先级
Just do IT
06-19 551
授人以鱼不如授人以渔, 在这里我会告诉有关网页编码的一些事实与结论, 但我更希望传达给你分析问题的方法, 当你遇到乱码困扰时, 你能够独立迅速地分析并解决问题.
常用编码详解
Wc&Yd博客
04-10 513
而Unicode是双字节的,比如“A”的Unicode是0065,C语言使用‘\0’作为字符串结尾,这样一来,C语言的字符串函数将无法正常处理Unicode,除非把世界上所有用C写的程序以及他们所用的函数库全部换掉。b. Unicode有两套标准,一套叫UCS-2(Unicode-16),用2个字节为字符编码,另一套叫UCS-4(Unicode-32),用4个字节为字符编码。常用的UCS-2,它可以表示的字符数为2^16=65535,基本上可以容纳所有的欧美字符和绝大部分的亚洲字符。
汉字的编码|ASCII|GBK|Unicode|UTF-8详解
白帽阿叁的博客
08-14 1万+
字符集:是一个系统支持的所有抽象字符的集合。字符是各种文字和符号的总称,包括各国家文字、标点符号、图形符号、数字等。字符编码:在符号集合与二进制之间建立对应关系常用的字符集:ASCII字符集、GB2312字符集、BIG5字符集、GBK字符集、GB18030字符集、Unicode字符集等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值