常见的编码总结(二)

最新推荐文章于 2023-08-17 10:37:15 发布
最新推荐文章于 2023-08-17 10:37:15 发布
阅读量863 收藏 1
点赞数 1
分类专栏: web安全 文章标签: xss js 编码 url编码 html 实体
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ggjustnow/article/details/82055963
版权

 

一.HTML的字符集

1.字符集出现的原因

字符集是用来统一传输过程中信息的一致性,就如同,两个来自不同国家的人的对话一样。

一个俄罗斯人和一个中国人,两者都会英语和本国的语言。

中国人在大脑中构思好"你好啊"这句话,然后自己翻译成英语"hello"。

俄罗斯收到"hello",后再在大脑中翻译成俄语中"你好“的意思。这样一次简单的对话,才能成立,否则,只能是鸡同鸭讲。

同理我们在服务器和客户两者之间,也需要统一的"语言",否则也会出现理解不了的情况。

2.字符实体(Character entity)

在编写html中,如果我们要显示一些特殊字符,比如说:">"、"<"等,因为浏览器会将其误认为是标签,进而不能正确的显示

如,我们要在页面中显示"<a"

<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<title>Document</title>
</head>
<body>
	<p>是否能正确显示小于号和a标签呢?</p>
	<a
</body>
</html>

现在打开火狐

下图是打开后的页面,很明显,未能正确的显示"<a",同时要注意,在查看元素中,浏览器会自动修正一些问题,如自动将a

标签闭合,并添加了</a>标签。

 

打开源代码,

还是原来的代码。

接下来是chrome浏览器,也没能正确显示

然后是,ie浏览器 

 此时,就需要字符实体来发挥作用了

只需要用"&lt;"或者"&#60;"或者"&#x03C"即可

修改代码为:

<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<title>Document</title>
</head>
<body>
	<p>是否能正确显示小于号和a标签呢?</p>
	&lt;a
	&#60;a
	&#x03C;a 
</body>
</html>

打开页面

查看源代码

 3.字符实体的格式

在html中字符实体的格式有两种:

类型一:

           &#entity_number;

           其中,entity_number,可以是十进制或者十六进制,如下

           &#60;

           &#x03C;

类型二:

           &entity_name;

                   

           &lt;

以上在html中都可以表示小于号。

注意:类型一中的entity_number的数值(十进制)与该字符的ascii值一致。

但是,我们知道ascii使用7个比特来表示的,所以最多只能有128个。但是能够在页面中显示的字符可远远超过128个,所以,还可以用较大的数来描述。

如 "∀",可以用"&#8706;"或者"&part;"来表示。

二、JS的编码总结

以下内容应用自《web安全功放:渗透测试指南》

js提供了四种字符编码的策略,如下所示。

  • 三位八进制数字,如果个数不够,在前面补0,例如"e"的编码为"\145"
  • 两位十六进制数字,如果个数不够,在前面补0,例如"e"的编码为"\x65"
  • 四位十六进制数字,如果个数不够,在前面补0,例如"e"的编码为"\u0065"
  • 对于一些控制字符,使用特殊的C类型的转义风格(例如\n和\r)

如,<script>eval("alert(1)")</script>,我们可以有一下三种表达:

八进制:<script>eval("\141\154\145\162\164\50\61\51")</script>

16进制:<script>eval("\x61\x6c\x65\x72\x74\x28\x31\x29")</script>

16进制:<script>eval("\u61\u6c\u65\u72\u74\u28\u31\u29")</script>

前面两个都能正常弹出警告框,为什么第三个不行呢?

在firefox中打开改页面,后发现:

SyntaxError: malformed Unicode character escape sequence,意思是unicode中的字符实体顺序出了问题。

查阅资料后发现,原因是这样的

js中可以直接通过eval执行的字符串有八进制和16进制两种编码方式,其中八进制用\56,十六进制用\x5c的格式。

需要注意的是这两种字符表示方式不能够直接给多字节字符编码(如汉字、韩文),如果代码中应用了汉字并且需要进行进制编码,那么只能进行十六进制Unicode编码,其表示形式为:\u4ee3\u7801("代码"二字的十六进制编码)。

所以,上述第三种方法在这里不能正确的执行,但是我们可以换一种其他的表达方式:

<a href="javascript:\u0061\u006c\u0065\u0072\u0074("您好")">test</a>

将其放在html中,执行下

点击test,后弹窗

上述\u0061\u006c\u0065\u0072\u0074,是对"alert"这个字符串进行的js编码,记住在js解析器中,必须是四位16进制,否则不能正确执行。

那现在能不能将<a href="javascript:alert(1) ">中的"alert(1)",进行16进制的编码呢?尝试下

 

打开页面,点击test3没有任何反应,问题出来了;

看一下,这个解释

https://security.yirendai.com/news/share/26

里面说了,"alert"是一个有效的标识名称,它可以被正常解析。但是像圆括号、双引号、单引号等等这些控制字符,在进行javascript解析的时候仅会被解码位字符串文本或者上面讲的标识符名称,但是在该过程中这些特殊字符已经没有控制字符的作用,所以无法闭合,因此执行失败。

三、URL编码

 

关于为什么要进行url编码,看看这篇文章?

https://www.cnblogs.com/jerrysion/p/5522673.html

URL编码的格式为:

URL编码通常也被称为百分号编码,是因为它的编码方式非常简单,使用%百分号加上两位的字符(16进制格式)。

这两位字符是依据ascii来决定的,

比如,英文单引号的ascii值为:27(16进制格式)

经过URL编码后为,%27 

ggjustnow
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件工程答辩常见问题总结.doc
11-29
软件工程答辩常见问题总结 本文将从给定的文件中生成相关的知识点,涵盖了软件工程答辩中的常见问题,包括 Java 编程、Tomcat 服务器、SQL Server 数据库、JSP 文件处理、Servlet 编程、过滤器应用等方面。 一、...
javascript常见用法总结
10-25
以下是对标题和描述中提到的JavaScript常见用法的详细说明: 1. **编码解码**: JavaScript提供了`encodeURI()`和`decodeURI()`函数来对字符串进行编码和解码。`encodeURI()`函数用于编码一个URI(统一资源标识符...
字符编码笔记:ASCII,Unicode 和 UTF-8
yusisc的博客
02-03 612
字符编码笔记:ASCII,Unicode 和 UTF-8 - 阮一峰的网络日志 http://www.ruanyifeng.com/blog/2007/10/ascii_unicode_and_utf-8.html 字符编码笔记:ASCII,Unicode 和 UTF-8 作者: 阮一峰 日期: 2007年10月28日
字符编码总结
龙小龍的博客
12-04 1109
ASCII 分两种 基本ASSIC字符集( ISO646) 高位为0,使用低7位编码 共有 128 个字符,其中有 96 个可打印字符,包括常用的字母、数字、标点符号等,另外还有 32 个控制字符。 扩展ASSIC字符集(ISO2022) 为满足不同国家的需求,在保持与 ISO646 兼容的前提下将 ASCII 字符集扩充为 8 位代码的统一方法,通过高位为1,可最多扩充128位
编码RNA的分类和功能总结.docx
06-27
编码RNA(non-coding RNA,ncRNA)是生物体内一类重要的分子,它们不编码蛋白质,但对细胞生理和病理过程起着至关重要的调控作用。根据分子大小和功能,ncRNA可以分为多个类别,包括小分子非编码RNA(如snRNA、...
CTF中常见编码和加密总结
09-07
CTF 中的编码和加密是最常见的一类题,这篇文章总结了一些常见编码和加密方法,希望能够给大家一个参考。 CTF 中的编码可以分为多种类型,如 ASCII 编码、Base64/32/16 编码、shellcode 编码、Quoted-printable ...
基于matlab遗传算法采用进制编码
04-17
进制编码是将问题的解转换为进制字符串,便于遗传算法处理的一种常见编码方式。 进制编码 在遗传算法中,进制编码是一种简单且高效的方法。每个个体由一个进制串表示,其中每个位对应一个问题的某个...
各种编码整理
LANVNAL的博客
02-07 3429
整理一些CTF中常用的编码。1.ASCII编码 —ascii码表 —在线转换 2.Base64/32/16编码 —在线转换(b64) —在线1/在线23.Quoted-printable编码4.XXencode编码 —XXencode 编码,XX编码介绍、XXencode编码转换原理、算法 —在线5.UUencode编码 —在线解码6.URL编码url编码是一种
最全的编码总结笔记
念茜的博客
02-03 4514
1. ASCII码 我们知道,在计算机内部,所有的信息最终都表示为一个进制的字符串。每一个进制位(bit)有0和1两种状态,因此八个进制位就可以组合出256种状态,这被称为一个字节(byte)。也就是说,一个字节一共可以用来表示256种不同的状态,每一个状态对应一个符号,就是256个符号,从0000000到11111111。 上个世纪60年代,美国制定了一套字符编码,对英语字符与进制位之间的关系,做了统一规定。这被称为ASCII码,一直沿用至今。 ASCII码一共规定了128个字符的编码,比如空格“
模板语句
阿布
07-24 418
转载自:https://www.jianshu.com/p/287231fbbc71 模板字面量是允许嵌入表达式的字符串字面量。你可以使用多行字符串和字符串插值功能。它们在ES2015规范的先前版本中被称为“模板字符串”。 `string text`; `string text line 1 string text line 2`; `string text ${expression}...
Java基础(7)字符串
伏木木的博客~~~
06-27 446
由字符组成的一串字符序列,称为“字符串”。 1.Java中的字符串 Java中的字符串是由双引号括起来的多个字符,下面示例都是表示字符串常量: "Hello World" "\u0048\u0065\u006c\u006c\u006f\u0020\u0057\u006f\u0072\u006c\u0064" "世界你好" "A" "" 注意:单个字符如果用双引号括起来,那它表示的是字符串,而不是字符了,"A"是表示字符串A,而不是字符A。 ""表示空字符串,双引号中没有任何内容,空字符串不是null,空字
模板字符串
qq_39010480的博客
02-18 414
刚开始时我写的是 success: function (data) { $("div").html(""); console.log(data) json = eval(data) console.log("json",json) for(var i=0; i<js.
HBase shell 中的十六进制数值表示
weixin_30752377的博客
06-28 660
在使用Hbase shell 进行get 或scan操作时,时不时会看到一些数值被转成了16进制, 就像下面那样 value=W\x5C5\x80 那么这个值具体等于多少? 查阅资料后发现算法如下 W -> W的ASCII码16进制 为 0x57 \x5C -> 就是16进制不变 0x5C 5 -> 5的ASCII码16进制 为 0x35 \x80 -> 就...
计算机中的编码
Levi_moon的博客
10-08 3957
文章目录一、ASCII码、BCD码1. BCD加法运算2. BCD减法运算三、汉字的编码1. 国标码(GB2312)2. 区位码及汉字机内码(1)区位码(2)汉字机内码四、检验码编码和解码1. 奇偶校验码编码2. 海明码编码(1)海明码的结构形式(2)海明码的编码原理(3)海明码的纠错3. 循环冗余校验码(1)CRC的编码方法(2)模2运算(3)CRC的译码及纠错(4)关于生成多项式 在计算机中,由于机器只能识别进制数,因此,键盘上所有数字、字母和符号也必须事先为它们进行进制编码,以便机器对它们加以识
url中的特殊符号及特殊字符编码对照表
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题,也期待与您一起探讨技术问题,共同成长。
08-17 1万+
URL编码特殊字符%2F,%2B,%3F,%25,URL特殊字符编码对照表
javascript的转换特殊字符为HTML实体字符
jinking's space
12-03 6467
首先来复习一下:RegExp对象和字符串的模式匹配的区别 RegExp与String的模式匹配的区别: var text = “cat, bat, sat, fat”; var pattern = /.at/; //与pattern.exec(text)相同 var matches = text.match(pattern); RegExp正则表达式的方法有:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值