先了解一下和xss有关的几个解析器所支持的编码。
1、HTML解析器
字符实体,如: < >
十进制,如:  < >
十六进制,如:  < >
2、JS解析器
Unicode编码,如:\u0027 \u0022
十六进制,如:\x27 \x22
八进制,如:\47 \42
反斜杠转义,如:\' \"
3、URL解析器
URL编码,如:%27 %22
Base64编码,如:data:text/html;base64,PGltZyBvbmNsaWNrPWFsZXJ0KDApPg==
上面这些除了Unicode编码(但在js的特殊字符上不好使)外,其它都是在解析器解析代码之后解码的。
举个上帝粒子:
<script>\u0061lert(0);</script>,这里