解码规则
- html解析器对html文档进行解析,完成解析并创建DOM树
- JavaScript或者CSS解析器对内联脚本进行解析,完成js、css解码
- url解码会根据url所在的顺序不同而在JS解码或者解码后
解码顺序
html解析第一步执行,而JS解析和URL解析则要根据情况而定
HTML解析器
1、html解析器以状态机的方式运行
状态流程图为:
即:Data—》Tag open----》Tag name —》Data
注意:如果我们的标签是在Data状态下被解析出来的,那么标签将作为一种文本输出来,
举例:<p>Hello<p>
初始状态为Data state ,当遇到<时,状态转为 Tag open,读取a-z某个字符创建开始标签,然后状态变为Tag name ,知道读取到>,状态变为Data,接着读取到H会识别并生成一个字符,相应得会为Hello中的每个字符生成一个字符符号,之后遇到<,又变为Tag open,读取到/则会创建一个闭合标签,并将状态改为Tag name,直到遇到>,后回到Data state。
注意:HTML解析器处于Data State、RCDATA State 、Attribute Value State(属性值),字符实体会被解码为对应的字符
2、原始文本元素
特性:该元素标签中的实体不会被HTML解码
标签:script,style
举例:标签中的实体字符不会被html解码,因此不会执行js
<script>alert(1)</script>
3、RCDATA 元素
特性:html解析器遇到该元素标签时,会进入RCDATA状态,实体字符会被解析器解码
标签:textarea、title
举例:字符实体会被解码,但是不会执行JS,因为没有进入Tag open状态,其中<script>不会被解释为HTML标签
<textarea><script>alert(1)</script></textarea>
解码得到<textarea><script>alert(1)</script></textarea>
JavaScript解析器
JavaScript中有三个地方可以出现JS编码
1、字符串
<script>alert(“\u0031”);</script>
被编码的为1且是字符串,可以正常解码并触发执行
2、标识符
<script>\u0061\u006c\u0065\u0072\u0074(1);</script>
被编码的部分为alert字符,是函数名,属于在标识符中的情况,因此会被正常解码并执行JS
3、控制符
包含:单引号、双引号、括号等
特性:能被解码但不会解释为控制字符,即失去特殊意义,只会被当做标识符或字符串的一部分
<script>alert\u0028″xss”);</script>
\u0028会被解码为( 但是不会触发JS,因为是控制符
URL解析器
1、URL的协议部分必须为ASCII字符、否则URL解析器的状态机将进入No Scheme状态
<a href="%6a%61%76%61%73%63%72%69%70%74:alert(1)"></a>
url编码部分为javascript,因为作为协议部分的"javascript"被编码,故不会触发JS
2、url中的:符号不能被以任何形式编码
<a href="javascript%3aalert(1)"></a>
:被url编码为%3a,导致url状态机进入No Scheme状态,故不会触发JS
3、当javascript没有被编码时
<a href = "javascript:alert(3)">hhhhh<a>
JS编码:
<a href="javascript:\u0061\u006c\u0065\u0072\u0074(3)">hhhhhh</a>
再对JS编码来一个URL编码
<a href="javascript:%5c%75%30%30%36%31%5c%75%30%30%36%63%5c%75%30%30%36%35%5c%75%30%30%37%32%5c%75%30%30%37%34(3)">hhhhhh</a>
这个是可以成功执行的,当HTML解析到href时,交给URL处理,URL发现了javascript:,把后面的数字解码后交由JavaScript处理,所以会弹出
例子
<a href="%6a%61%76%61%73%63%72%69%70%74:%61%6c%65%72%74%28%31%29">hhhh</a>
URL encoded "javascript:alert(1)" //冒号(:)没有被编码
Answer: The javascript will NOT execute.
HTML没有编码,不用考虑,根据href,URL模块处理,但是协议没办法识别(即编码的JavaScript:),URL会解码出来,但JS不会被执行,所以url编码的XSS,javascript:一定不能被url编码,编码后无法识别,js还是不能执行
<a href="javascript:%61%6c%65%72%74%28%32%29">
Character entity encoded "javascript" and URL encoded "alert(2)"
Answer: The javascript will execute
HTML先解码得到:
<a href="javascript:%61%6c%65%72%74%28%32%29">
href中为URL,URL模块可识别为javascript协议,进行URL解码,得到
<a href="javascript:alert(2)">
由于是javascript协议,解码完给JS模块处理,于是被执行
<div><img src=x οnerrοr=alert(4)></div>
Character entity encoded < and >
Answer: The javascript will NOT execute.
当HTML解析到<;时,此时的状态为Data,会被解码,但是不能创建img标签,因为不是Tag open状态,所以解码后被当做文本,不会执行
<button onclick="confirm('7');">Button</button>
Character entity encoded '
Answer: The javascript will execute.
这里onclick中为标签的属性值,会被HTML解码,得到
<button onclick="confirm('7');">Button</button>
然后被执行
<button onclick="confirm('8\u0027);">Button</button>
Unicode escape sequence encoded '
Answer: The javascript will NOT execute.
不需要HTML解码,onclick中的值会交给JS处理,在JS中只有字符串和标识符能用Unicode表示,'显然不行,JS执行失败。
<script>alert(9);</script>
Character entity encoded alert(9);
Answer: The javascript will NOT execute.
不会被执行,script属于原始文本元素(Raw text elements),只可以容纳文本,注意没有字符引用,于是直接由JS处理,JS也认不出来,执行失败
参考链接
https://blog.csdn.net/baidu_38844729/article/details/109328472
https://xz.aliyun.com/t/5863
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
