深入解析 XSS 编码技术

编码的重要性与目的

编码的主要目的在于绕过 Web 应用程序防火墙（WAF）和过滤函数，尤其在缺乏 WAF 和过滤函数的环境下。XSS 攻击的关键之一在于其简洁性，攻击者利用少量代码就能达到攻击目的。因此，编码会增加攻击载荷（payload）的长度，使其更难被检测和阻止。

---

HTML 实体编码

在编写 HTML 页面时，需要使用一些特殊符号（如”<“、”>”、空格等）。直接输入这些符号可能会与 HTML 标记混淆，因此需要将这些字符进行转义，以便以相同的形式展示。这些字符被称为 HTML 实体，在 HTML 中有不同的编码方式，包括实体名称和实体编号。

---

HTML 实体编码的两种格式

1. 实体名称格式：以 “&” 开头，以 “;” 结尾，通过语义形式描述字符，例如 “<” 的实体名称为 “<“。
2. 实体编号格式：以 “&#” 开头，以 “;” 结尾，使用十进制或十六进制编号表示字符。

---

HTML 实体编码的示例

示例代码展示了实体名称和实体编号格式的使用，以及浏览器解析行为。

---

XSS 攻击与编码策略

文章介绍了不同编码策略，包括 C 语言编码、八进制编码、十六进制编码和 Unicode 编码，以及它们的适用范围和注意事项。编码策略可以用于绕过防御机制，但需要注意不能替代特殊字符如括号、引号和点号等。

---

常见误区与总结

文章指出了一些关于 XSS 攻击的常见误区，并强调了理解 XSS 原理和编码方式的重要性。掌握基础的编码知识可以更好地理解攻击载荷，避免盲目修改语句导致无法绕过防护。