起因:
1、http 请求有get与post方式,get最大数据为2KB,而post没有限制。
2、get方式只能是ascii字符,中文要进行转义
加密:
1、传入的数据进行md5加密(王小云破解部分)
2、URL_encode对url进行加密,转码
(1)escape() 空格,标点符号,非ascii码 转成%+十六进制的形式,(@ + /*)
(2)encodeUri()采用utf-8转成escape格式的字符串(& ? = ! $ () :/ + @)
(3)encodeURIComponent() 采用utf-8转成escape格式与(2)相比,将更多的字符进行 转码,如"/"所以不能对URL进行转,不会转的有(! * ())
3、base64 电子邮件或网页
原理:把每3个8位的字符转成4个6位的字符(3*8 = 4*6),对6位再添高二位,组成8位,
转换后比原来长1/3
工具:winhex查看数据包
类型:
1、XSS,跨站点攻击,被动示攻击 主动式称为XSS木马攻击(访问别的站点)
2、storeXSS 存储文件
3、Dom-basic XSS http://xx.yy.com?name=<script>alert(e);</script>
应用:
1、 获取用户的cookie document.cookie
2、 隐藏自身iframe