浏览器解码规则详解

最新推荐文章于 2024-05-27 11:45:32 发布
最新推荐文章于 2024-05-27 11:45:32 发布
阅读量1.6k 收藏 6
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_38844729/article/details/109328472
版权

解码规则

浏览器解码遵循这样一个规则:

  1. html解析器对html文档进行解析,完成html解码并且创建DOM树
  2. JavaScript 或者CSS解析器对内联脚本进行解析,完成JS、CSS解码
  3. url解码会根据url所在的顺序不同而在JS解码前或者解码后

解码顺序

html解析第一步执行,而JS解析和url解析则要根据情况而定

html解析器

1、html解析器以状态机的方式运行,举例:<p>Hello</p>
状态流程为:Data—>Tag open—>Tag name—>Data—>Tag open—>Tag name—>Data

初始状态为Data state,当遇到<时,状态转为Tag open,读取到a-z某个字符会创建开始标签,此时状态转为Tag name,直到读取到>,状态又回到Data,接着读取到H会识别并生成一个字符,相应得会为Hello中的每个字符生成一个字符符号;之后遇到<,又转为Tag open,读取到 “/” 则创建一个闭合标签,并将状态变为Tag name,直到遇到>后回到Data state

注意:HTML解析器处于Data Stata、RCDATA State、Attribute Value State时,字符实体会被解码为对应的字符
举例:

<div>&#60;img src=x onerror=alert(4)&#62;</div>

其中&#60;&#62;会被解码为<>,但是不会触发JS执行,即不会弹窗
因为解码&#60;时处于Data状态,不是Tag open状态,不进入Tag open就不会创建标签,只会将&#60作为数据来处理;没有对应的标签,故不会触发

总结:对特殊字符做html编码可以有效防御XSS攻击

2、原始文本元素

特性:该元素标签中的实体字符不会被HTML解码
标签:script、style
举例:<script>alert&#40;&#49;&#41;</script>,标签中的实体字符不会被html解码,因此不会触发执行JS

3、RCDATA元素
特性 :html解析器遇到该元素标签时,会进入RCDATA状态,字符实体会被解析器解码
标签:textarea、title
举例:字符实体会被转码,但是不会执行JS,因为没有进入Tag open状态,其中<script>不会被解释为html标签

<textarea>&lt;script&gt;alert&#40;&#49;&#41;&lt;/script></textarea>
解码得到<textarea><script>alert(1)</script></textarea>

4、外部元素
<svg>遵循XML和SVG的定义
举例:可以弹窗,在XML中&#40;会被解析成(

<svg><script>alert&#40;1)</script>

JavaScript解析器

JavaScript中有三个地方可以出现JS编码
1、字符串

<script>alert(\u0031”);</script>
被编码的为1且是字符串,可以正常解码并触发执行

2、标识符

<script>\u0061\u006c\u0065\u0072\u0074(1);</script>
被编码的部分为alert字符,是函数名,属于在标识符中的情况,因此会被正常解码并执行JS

3、控制符
包含:单引号’ 双引号" 括号()等
特性:能被解码但不会被解释为控制字符,即失去特殊含义,只会被当作标识符或字符串的一部分

<script>alert\u0028″xss”);</script>
\u0028会被解码为( 但是不会触发JS,因为是控制符

URL解析器

1、URL的协议部分必须为ASCII字符,否则URL解析器的状态机将进入No Scheme状态

<a href="%6a%61%76%61%73%63%72%69%70%74:alert(1)"></a>
url编码部分为javascript,因为作为协议部分的"javascript"被编码,故不会触发JS

2、URL中的**😗*不能被以任何方式编码

<a href="javascript%3aalert(1)"></a>
:被url编码为%3a,导致url状态机进入No Scheme状态,故不会触发JS
Franchi小白帽
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
浏览器解码过程分析
weixin_49472648的博客
07-27 1236
字符实体是一个转义序列,它定义了一般无法在文本内容中输入的单个字符或符号。一个字符实体以一个&符号开始,后面跟着一个预定义的实体的名称,或是一个#符号以及字符的十进制数字。或如需显示小于(>)号,我们必须这样写...
html url js编码顺序,浏览器解码顺序(html解码、url解码以及js解码
weixin_32647107的博客
06-04 487
<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /></head><body><a href="javascript:alert('<?php echo $_GET['input'];?>');">test...
浏览器Url编码与解码
最新发布
Aaron_杀死庸碌的博客
05-27 250
Url的编码格式采用的是ASCII码,而不是Unicode,这也就是说你不能在Url中包含任何非ASCII字符,例如中文。使用Global对象的encodeURI()和encodeURIComponent()方法进行编码,用特殊的UTF-8编码替换所有无效的字符,从而让浏览器能够接受和理解。方法的时候要比使用dencodeURI()更多,因为在实践中更常见的是对查询字符串参数而不是对基础URL进行编码;注意:若在代码里修改url编码,可以先在浏览器里"在线转换工具"里先转换测试,看使用哪种方法能转换成功。
浏览器解码
马农莎的博客
08-25 172
浏览器解码顺序和php、java、python处理后台post请求
vt_yjx的博客
07-25 125
测试不能弹窗,原因是html实体编码没有解析到urlcode编码,交给URLcode解析后,还原出协议,但此时已经执行过了,不再执行协议了,可以看到url中有解析出来的协议,而前两个例子并没有。测试可以弹窗,原因是先对html实体编码解析出来javascript:这个协议,然后urlcode解析的时候就执行协议了,后面的urlcode编码一并解析了。测试可以弹窗,原因是浏览器本就可以解析html,重点是顺序是先解析html实体编码再解析url。注:‘ :’是协议的一部分。#通过装饰器定义路由。
网络安全基础--浏览器解码顺序
qq_28591037的博客
01-03 596
当我们在进行XSS测试时,由于服务端进行了过滤等操作,有时候可以尝试通过编码转义的方式进行绕过,常见的方法有URL编码、HTML编码、js转义等。使用编码转义之前,我们首先需要了解浏览器解码顺序。
探究浏览器编码规则
qq_43511094的博客
01-25 836
浏览器编码规则背景自己理解一、为什么存在编码?1.1 为什么需要URL编码1.2 为什么需要HTML编码浏览器解码规则HTML解码HTML解析器javascript解析器 背景 某一天,自己在https://xss.haozi.me/#/0x00做XSS练习做到第8题的时候,想到如果这个题用HTML的实义字体表示<>是不是也是可以的,然后发现不行,就在想这其中的原因,然后,在网上搜资料的时候,有一篇大佬的博客详细的解释了浏览器编码的一些规则和顺序,让我对浏览器编码有了更深一步的了解。在文章最
JS 实现Base64编码与解码实例详解
10-21
- 在浏览器环境中,JavaScript提供了内置的`btoa()`和`atob()`方法,可以直接进行Base64编码和解码,但这两个方法不支持Unicode,可能导致非ASCII字符编码问题。 通过理解以上内容,你可以更好地掌握在...
QrShare-crx插件
04-01
二维码通过特定的编码规则,将这些信息转换为黑白相间的图形,然后通过扫描设备读取并解码,从而实现数据的快速传输。 **QrShare插件工作原理** QrShare插件的工作流程非常简单:当用户在浏览网页时,如果想要分享...
扫描器毕业设计,被动式扫描器,由chrome插件获取流量,进行二次检测.zip
04-05
【知识点详解】 1. 扫描器原理:扫描器是网络安全工具,用于发现网络或系统中的漏洞、配置错误和安全弱点。被动式扫描器通过监听网络流量而非发起主动请求,降低了被目标系统检测到的风险。 2. Chrome插件开发:...
gmp-widevine:调整Widevine CDM以在Firefox中使用
02-05
“gmp-widevine:调整Widevine CDM以在Firefox中使用” 这个标题指出了一个特定的工程或项目,其目的是使Widevine内容解码模块(CDM)能够在Mozilla Firefox浏览器中运行。 Widevine CDM是Google提供的一种数字版权...
浏览器解码与xss
一个安全研究员
06-06 2571
简介 如今,浏览器可能已经在互联网行业占据半边江山了,它几乎是我们使用的最多的 一个软件,但是由于它的一些特性,经常出现很多的问题,这让开发人员很是头疼,所以今天我们就站在安全的角度(解码)来深度剖析一下浏览器的工作原理。 也是对这么久以来查询的资料的一个总结。 浏览器组成 用户界面 - 包括地址栏、后退/前进按钮、书签目录等,也就是你所看到的除了用来显示你所请求页...
XSS Payload 学习浏览器解码
xiaooxiangg的博客
07-27 520
.
浏览器如何解析HTML
笑儿--永不凋零的梦想
03-29 499
/**-----------------------------------------------从传输原理上面讲---------------------------------------------**/ 概述 为HTML文档尽早指定字符编码,可以让浏览器立刻开始执行脚本。 细节 HTML文档是作为带有字符编码信息的字节流序列在互联网中传送的。字符编码信息可以在随文档发送的HTTP...
网络安全——绕过
W981113的博客
01-01 4011
1.编码的问题 http在传输特殊字符时需要在浏览器中编码,常见的比如空格、回车符等 编码是有规定的,但是具体如何编码没有规定,不同浏览器编码方案不一致,不同字段编码方案也不一样 结论:所有浏览器都有编码的习惯,那么后台接收数据时。首先需要处理编码就是解码解码是把已编码的字符还原,其余未编码的不动。 2.实际测试 当对浏览器的输入区域进行输入字符时出现两种情况: 1.输入的字段被浏览器自动编码,例如输入空格,浏览器自动编码为%20,传输时http中也是%20形式传输的 2.输入的字段是编码形式,浏览器
URL地址中的%2F、%3F、%3D、%3A是什么意思
热门推荐
xiuxian_ing的博客
04-17 3万+
我们见到的正常的url地址应该是长这个样子的,https://www.baidu.com。但是也有一些url地址经过编码了,如长成这样的https%3A%2F%2Fdocument-cdn.yxtxcsq.com%2Fdoc%2Fpdf%2F03%2F000010%2F001636%2F2020%2F03%2F21%2F9e6ddc29c6028b34cd57126f8d1d0c78.pdf%3Fsign%3D6f8799f678c86acb7b5b6802e345c0d5%26t%3D1650180644
为啥进行html标签编码可以防止XSS?
zwbHUST的博客
12-10 2398
众所周知,html字符编码可以防止大部分的XSS攻击。一直以来有一个疑问,为什么对编码解码为<script></script>后,不进行对此标签继续进行解析呢? 一定有一些底层的原理来解释这个问题。 解释如下: HTML解析器以状态机的方式运行,它从文档输入流中消耗字符并根据其转换规则转换到不同的状态。 示例: <html> <body> Hello world </body> </html> 1、 初始状
【常见的编解码场景】
weixin_43493520的博客
05-29 3287
常见的编解码场景一,编码与解码1.1 字符编解码字符集和编码编解码过程分析编解码举例1.2 http url编码1.3 http body编码1.4 压缩编码1.5 对象编码netty框架中的编码解码dubbo框架的编码解码二, http链路中的编解码2.1 浏览器的请求过程2.2 对于服务端的返回数据,浏览器的处理过程三, 参考 在软件领域内,有诸多编码解码的应用场景,而对于编码一词的使用,在不同场景下也有不同的语义表达,很多软件开发人员不堪其困扰,至少我本人是经历了很波折的一些过程。 举几个场景,比如

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值