XSS - XSS编码绕过讲解 - 《Web安全-知识》

HTML解析
URL解析
JS解析
代码解析顺序

形成原因：
有些字符和关键词冲突，比如<>，解码之后，浏览器会误认为它们是标签

解决方法：
实体化编码
**

HTML解析

三种方法可以容纳字符实体——>**这里重要的是在这三种模式下，**可以进行HTML实体自动“解码”！！！
**

数据状态中的字符引用

因为处于“数据状态”，不会转换到“标签开始状态”，所以不会建立新标签
因此，我们能够利用字符实体编码来转义用户输入的数据从而确保用户输入的数据只能被解析成“数据”

属性值状态中的字符引用

类似于src，herf这样的属性值被编码，会自动进行Html解码
**

RCDATA状态中的字符引用

作用：可以容纳文本和字符引用
RCDATA元素(RCDATA elements)，有和<title> HTML有五类元素： 空元素(Void elements)：如<area>, ,<base>等等 原始文本元素(Raw text elements)：有<script>和<style> RCDATA元素(RCDATA elements)：有<textarea>和<title> 外部元素(Foreign elements)：例如MathML命名空间或者SVG命名空间的元素 基本元素(Normal elements)：即除了以上4种元素以外的元素 作用如下： 空元素：不能容纳任何内容（因为它们没有闭合标签，没有内容能够放在开始标签和闭合标签中间） 原始文本元素：可以容纳文本 RCDATA元素：可以容纳文本和字符引用 外部元素：可以容纳文本、字符引用、CDATA段、其他元素和注释 基本元素：可以容纳文本、字符引用、其他元素和注释 注意事项： HTML不区分大小写！！！** <a name="woXhl"></a> <h2 id="4n5me"><a name="4n5me" class="reference-link"></a>URL解析</h2>** 服务端收到请求时，会自动对请求进行一次URL解码 不能对协议类型进行任何的编码操作，不然URL解析器会认为它无类型 ：也不能被任何方式编码 实例： <a href="%6a%61%76%61%73%63%72%69%70%74:%61%6c%65%72%74%28%31%29"></a> 协议被编码，不知类型，没用 <a href="javascript:%61%6c%65%72%74%28%31%29"></a> 可以解析 <a name="trhzM"></a> <h2 id="5pxihk"><a name="5pxihk" class="reference-link"></a>JS解析</h2>知识： 当HTML解析产生DOM节点后，会根据DOM节点来做接下来的解析工作，比如在处理诸如<script> <style>这样的标签，解析器会自动切换到JS解析模式 而src、 href后边加入的javascript 伪URL，也会进入JS 的解析模式 js解析的字符不一定全部都会当成js代码解析，需要分情况，转义序列放在3个部分：字符串中，标识符名称中和控制字符中 如果编码：字符串和控制字符会被转义为文本！！！** 不会执行，因为单引号被JS编码，转义为文本 但是对于在标识符名称中时，它会被解码并解释为标识符名称的一部分，例如函数名，属性名等等，比如将alert关键字编码后，当解码之后他会成为js执行代码的一部分，是可以执行的 可以执行，字符串和控制字符都没有被编码 <a name="9io0Q"></a> <h2 id="baeofy"><a name="baeofy" class="reference-link"></a>代码解析顺序</h2>HTML解析总是第一步解析，然后再判断URL和JS解码 href中—->先URL解码href属性值，然后判断是否有js代码，在进行JS解码 事件函数中—->先JS解码，然后URL解码 不管怎么样，都是先HTML解码，最后都会有URL解码(因为输出在网页中) ** <a href="UserInput"></a> 该例子中，首先由HTML解析器对UserInput部分进行字符实体解码 接着URL解析器对UserInput进行URL decode 如果URL的Scheme部分为javascript的话，JavaScript解析器会再对UserInput进行解码 所以解析顺序是：HTML解析->URL解析->JavaScript解析 <a href=# onclick="window.open('UserInput')"></a> 该例子中，首先由HTML解析器对UserInput部分进行字符实体解码 接着由JavaScript解析器会再对onclick部分的JS进行解析并执行JS 执行JS后window.open(‘UserInput’)函数的参数会传入URL，所以再由URL解析器对UserInput部分进行解码 因此解析顺序为：HTML解析->JavaScript解析->URL解析 <a href="javascript:window.open('UserInput')"> 该例子中，首先还是由HTML解析器对UserInput部分进行字符实体解码 接着由URL解析器解析href的属性值 然后由于Scheme为javascript，所以由JavaScript解析 解析执行JS后window.open(‘UserInput’)函数传入URL，所以再由URL解析器解析 所以解析顺序为：HTML解析->URL解析->JavaScript解析->URL解析 <a href="%26%23x6a%3B%26%23x61%3B%26%23x76%3B%26%23x61%3B%26%23x73%3B%26%23x63%3B%26%23x72%3B%26%23x69%3B%26%23x70%3B%0A%26%23x74%3B%26%23x3a%3B%26%23x25%3B%26%23x35%3B%26%23x63%3B%26%23x25%3B%26%23x37%3B%26%23x35%3B%26%23x25%3B%26%23x33%3B%0A%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x36%3B%26%23x25%3B%26%23x33%3B%26%23x31%3B%0A%26%23x25%3B%26%23x35%3B%26%23x63%3B%26%23x25%3B%26%23x37%3B%26%23x35%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%0A%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x36%3B%26%23x25%3B%26%23x36%3B%26%23x33%3B%26%23x25%3B%26%23x35%3B%0A%26%23x63%3B%26%23x25%3B%26%23x37%3B%26%23x35%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%0A%26%23x25%3B%26%23x33%3B%26%23x36%3B%26%23x25%3B%26%23x33%3B%26%23x35%3B%26%23x25%3B%26%23x35%3B%26%23x63%3B%26%23x25%3B%0A%26%23x37%3B%26%23x35%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%0A%26%23x37%3B%26%23x25%3B%26%23x33%3B%26%23x32%3B%26%23x25%3B%26%23x35%3B%26%23x63%3B%26%23x25%3B%26%23x37%3B%26%23x35%3B%0A%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x37%3B%26%23x25%3B%0A%26%23x33%3B%26%23x34%3B%26%23x28%3B%26%23x31%3B%26%23x35%3B%26%23x29%3B">click</a> 最后的形式是以URL形式的，因为实体化中有#，#中**在URL**是注释的意思，传不过去 解码顺序：URL->HTML->URL->JS 编码顺序：JS->URL->HTML->URL（与解码顺序相反） <img src="https://cdn.nlark.com/yuque/0/2020/png/1781646/1600867253426-28a75512-bf3b-4990-87dc-8dd5aacd41e0.png#align=left&display=inline&height=358&margin=%5Bobject%20Object%5D&name=image.png&originHeight=594&originWidth=830&size=85839&status=done&style=none&width=500" alt="image.png"> 因为在属性中，所以先HTML解码，结果如下 <img src="https://cdn.nlark.com/yuque/0/2020/png/1781646/1600861308741-31b3d074-0aa3-4a50-b9e8-c75763438c2d.png#align=left&display=inline&height=238&margin=%5Bobject%20Object%5D&name=image.png&originHeight=274&originWidth=634&size=17895&status=done&style=none&width=550" alt="image.png"> 然后因为在href**中，所以进行URL编码 <img src="https://cdn.nlark.com/yuque/0/2020/png/1781646/1600861382259-13cbf787-1870-4315-b809-d84c4973384a.png#align=left&display=inline&height=226&margin=%5Bobject%20Object%5D&name=image.png&originHeight=451&originWidth=1096&size=27233&status=done&style=none&width=550" alt="image.png"> 最后因为Schema为Javascript，进行JS解码 <img src="https://cdn.nlark.com/yuque/0/2020/png/1781646/1600861439211-e136963c-7eee-41fa-a94d-6661e0525c8d.png#align=left&display=inline&height=270&margin=%5Bobject%20Object%5D&name=image.png&originHeight=403&originWidth=821&size=19886&status=done&style=none&width=550" alt="image.png"> 最终结果就是：**<a href="javascript:alert(15)"> <img src="https://cdn.nlark.com/yuque/0/2020/png/1781646/1600868174135-616fe98e-93dd-4f67-ad99-4ba6a1af4693.png#align=left&display=inline&height=147&margin=%5Bobject%20Object%5D&name=image.png&originHeight=244&originWidth=914&size=20069&status=done&style=none&width=550" alt="image.png"> <img src="https://cdn.nlark.com/yuque/0/2020/png/1781646/1600868179930-c5bcc7c8-ca2c-4673-9503-f327f01a908b.png#align=left&display=inline&height=144&margin=%5Bobject%20Object%5D&name=image.png&originHeight=241&originWidth=918&size=18881&status=done&style=none&width=550" alt="image.png">**