【安全】web中的常见编码&amp；浅析浏览器解析机制_web网站码源

程序员桔子

于 2024-08-05 20:00:00 发布

阅读量186

点赞数 2

文章标签：前端安全 javascript

本文链接：https://blog.csdn.net/Karka_/article/details/140820541

版权

一、ASCII码

ASCII (American Standard Code for Information Interchange，美国信息交换标准代码）

计算机内部，所有信息最终都是一个二进制值。每一个二进制位（bit）有0和1两种状态，因此八个二进制位就可以组合出256种状态，这被称为一个字节（byte）。也就是说，一个字节一共可以用来表示256种不同的状态，每一个状态对应一个符号，就是256个符号，从00000000到11111111。

上个世纪60年代，美国制定了一套字符编码，对英语字符与二进制位之间的关系，做了统一规定。这被称为 ASCII 码，一直沿用至今。

ASCII码对照 👉 点此进入

二、URL编码

URL：

URL - 统一资源定位器（Uniform Resource Locator）

Web 浏览器使用 URL 从 Web 服务器请求页面。
URL 只能使用 ASCII 字符集通过因特网进行发送。
由于 URL 通常包含 ASCII 集之外的字符，因此必须将 URL 转换为有效的 ASCII 格式。

URL编码：

将字符转换为可通过因特网传输的格式。
使用后跟十六进制数字的 “%” 替代不安全的 ASCII 字符。
URL 不能包含空格。URL 编码通常使用加号（+）或 %20 替代空格

👉URL编码对照表以及编码解码工具

三、Unicode编码

统一码（Unicode），也叫万国码、单一码，由统一码联盟开发，是计算机科学领域里的一项业界标准，包括字符集、编码方案等。

Unicode 源于一个很简单的想法：将全世界所有的字符包含在一个集合里，计算机只要支持这一个字符集，就能显示所有的字符，再也不会有乱码了。

它从 0 开始，为每个符号指定一个编号，这叫做”码点”（code point）。比如，码点 0 的符号就是 null（表示所有二进制位都是 0）。

👉在线 Unicode 编码转换

四、HTML实体编码

为什么有HTML实体编码

在 HTML 中不能使用小于号（<）和大于号（>），这是因为浏览器会误认为它们是标签。如果希望正确地显示预留字符，我们必须在 HTML
源代码中使用字符实体（character entities）。

HTML 实体是一段以连字号 (&)开头、以分号 (;)结尾的文本 (字符串)，形如 j
实体常常用于显示保留字符 (这些字符会被解析为 HTML 代码)和不可见的字符 (如“不换行空格”)
应用场景：在前端，一般为了避免 XSS 攻击，会将 <> 编码为 < 与 >，这些就是 HTML 实体编码
使用须知：在 HTML 转义时，仅仅只需要对六个字符进行编码：&、<、>、"、’ 和 `。我们可以使用 he 库进行编码及转义

👉 在线Html实体编码解码 (config.net.cn)")

结合编码理解浏览器解析机制

①

aaa

分析：a标签中的href属性放的是url，然后现在里面全是url编码，URL模块解码出来就是javascript:alert(1),因为是url解码后才能看到javascript所以最后没识别到这个协议，即alert没被执行
结果：执行失败

②

分析：先通过HTML解码得到javascript:%61%6c%65%72%74%28%32%29，再丢给URL模块，URL模块识别到Javascript协议，把：后边的内容解码后丢给js的模块去处理
结果：执行成功

③

分析：和①类似，URL识别到完整的javascript:后才能识别出这个协议
结果：执行失败

④

分析：&.#60(打了个.防止csdn给我解码了)是< ，&.#62是>
HTML实体编码把这俩转化成尖括号后token就被消耗掉了所以并不会进入到标签开始状态，自然里面的内容也失效了
结果：执行失败

⑤

分析：这个看起来和④差不多，但其实与

都是RCDATA元素，即在这俩标签里面，不可能有别的标签存在，所以最后也会把<>变成实体编码
结果：执行失败

⑥

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
![img](https://img-
blog.csdnimg.cn/img_convert/3282e788453fe24f6348fb136f18fb17.png)
![img](https://img-
blog.csdnimg.cn/img_convert/345f41ac93ef0d2e8f0f794e872182e3.png)
![img](https://img-
blog.csdnimg.cn/img_convert/49084dea05ac4568ec67d1974e0bb87f.png)
![img](https://img-
blog.csdnimg.cn/img_convert/619180cf81d2b8aa89c1b4e5fa49c0b6.png)
![img](https://img-
blog.csdnimg.cn/img_convert/b83431edc6d43f218e5f2e453a990a6e.png)
![img](https://img-
blog.csdnimg.cn/img_convert/48b9f6ecb833ba7c77a8c58b50333b08.png)

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）
![img](https://img-
blog.csdnimg.cn/img_convert/f97f3154df18122cce0354f6591f5639.png)

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
![在这里插入图片描述](https://img-
blog.csdnimg.cn/15c1192cad414044b4dd41f3df44433d.png)![在这里插入图片描述](https://img-
blog.csdnimg.cn/b07abbfab1fd4edc800d7db3eabb956e.png)

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C
C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

//bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0)

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。