XSS之编码

一：html编码
背景：html编码是用于输出html原本的标签的

想在页面上输出div标签，但是如果我在html标签里直接写的话，就会被当成div标签执行，并不会输出在页面上，这个时候我想将他输出在页面上就需要用html编码

XSS中的应用：这种编码的形式可以用来去绕过一些过滤，比如，有些会过滤掉script ，alert,< >这样的危险的符号，这个时候，就可以用Html编码来绕开过滤

比如这里的输出点在scr里，可以闭合双引号，然后写一个onerror事件，将alert(1)进行html十进制编码，这样就避开了输入的过滤，当数据到达输出点时，页面会先解码，这个时候onerror后面就变成了字符串alert(1),但是当图片资源加载失败，触发onerror这个事件时，这个时候这个字符串alert(1),就会当作js代码执行，就会弹窗。我这里用的html的十进制编码，用十六进制也是一样的效果

Html在线编码工具：
https://www.qqxiuzi.cn/bianma/zifushiti.php

二：js编码

XSS应用：一般js的编码用在通过innerHTML输出在html里面，比如var search = “可控点”;

document.getElementById().innerHTML=search;

在script标签中，先将js编码解码，变成字符串<img src=“x” οnerrοr=alert(1)>,,然后就会以字符串的形式输出在html的div标签里，然后当作html代码执行，也就执行了这个语句，成功弹窗

Js解码是用的xss encode插件

三：url编码

背景：http协议中传输参数是key=value这种键值对的形式存在的，如果需要传多个参数，就需要用&进行分割，如name1=value1&name=value2&name3=value3这种形式，如果这个时候，我们的值里包含了&或者=这样的符号，比如name1=value1,其中，value1的值是aaa&b=cc,那么输出的时候就会变成这样：name1=aaa&b=cc,这本来是一个键值对，但是服务器会解析成两个，会造成歧义，为了避免这种情况，对参数进行了url编码。&：%26，=：%3D，编码后就变成了name1=aaa%26b%3Dcc，这样服务器解析时，就还是一个键值对，然后进行Url解码，就会获取到正确的值了。

XSS中的应用：比如说当你的输出点在a标签的href属性中时，对：进行了过滤，这个你输javascript：alert(1)时，：就会被过滤，导致不能执行，这个时候就可以先用html编码成:，再

用url编码将&编码成%26，再输出点浏览器会将html编码解码回：，然后输出在href里，就可以成功弹窗

url编码和解码可以在js控制台使用js语句来进行编码解码：encodeURI(),encodeURIcomponed()

也可以用在线编码工具：
http://tool.chinaz.com/tools/urlencode.aspx

四：base64编码

Base64一般用在a标签和iframe标签中，

<a href="输出点">

</a> <iframe src="输出点" frameborder="0"></iframe>，

如果过滤了javascript<>”’时，就可以考虑base64编码，用data协议

<a href="data:text/html;base64, PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg==">test</a>

解码后为：<img src=x οnerrοr=alert(1)>

当点击链接时，页面就会以html的方式解析，用base64的方法解码，然后成功结果弹窗。

Base64在线编码工具：https://base64.us/

注：文章转自互联网