浏览器解码

浏览器解码遵循这样一个规则：html解析器对html文档进行解析，完成html解码并且创建DOM树JavaScript 或者CSS解析器对内联脚本进行解析，完成JS、CSS解码url解码会根据url所在的顺序不同而在JS解码前或者解码后解码顺序html解析第一步执行，而JS解析和url解析则要根据情况而定html解析器1、html解析器以状态机的方式运行，举例：Hello状态流程为：Data—>Tag open—>Tag name—>Data—>Tag open—>Tag name—>Data初始状态为Data state，当遇到<时，状态转为Tag open，读取到a-z某个字符会创建开始标签，此时状态转为Tag name，直到读取到>，状态又回到Data，接着读取到H会识别并生成一个字符，相应得会为Hello中的每个字符生成一个字符符号；之后遇到<，又转为Tag open，读取到 “/” 则创建一个闭合标签，并将状态变为Tag name，直到遇到>后回到Data state注意：HTML解析器处于Data Stata、RCDATA State、Attribute Value State时，字符实体会被解码为对应的字符举例：<div><img src=x onerror=alert(4)></div>1其中<>会被解码为<>，但是不会触发JS执行，即不会弹窗因为解码<时处于Data状态，不是Tag open状态，不进入Tag open就不会创建标签，只会将<作为数据来处理；没有对应的标签，故不会触发总结：对特殊字符做html编码可以有效防御XSS攻击2、原始文本元素特性：该元素标签中的实体字符不会被HTML解码标签：script、style举例：<script>alert(1)</script>，标签中的实体字符不会被html解码，因此不会触发执行JS3、RCDATA元素特性 ：html解析器遇到该元素标签时，会进入RCDATA状态，字符实体会被解析器解码标签：textarea、title举例：字符实体会被转码，但是不会执行JS，因为没有进入Tag open状态，其中<script>不会被解释为html标签<textarea><script>alert(1)</script></textarea>解码得到<textarea><script>alert(1)</script></textarea>124、外部元素<svg>遵循XML和SVG的定义举例：可以弹窗，在XML中(会被解析成(<svg><script>alert(1)</script>1JavaScript解析器JavaScript中有三个地方可以出现JS编码1、字符串<script>alert(“\u0031”);</script>被编码的为1且是字符串，可以正常解码并触发执行122、标识符<script>\u0061\u006c\u0065\u0072\u0074(1);</script>被编码的部分为alert字符，是函数名，属于在标识符中的情况，因此会被正常解码并执行JS123、控制符包含：单引号’ 双引号" 括号()等特性：能被解码但不会被解释为控制字符，即失去特殊含义，只会被当作标识符或字符串的一部分<script>alert\u0028″xss”);</script>\u0028会被解码为( 但是不会触发JS，因为是控制符12URL解析器1、URL的协议部分必须为ASCII字符，否则URL解析器的状态机将进入No Scheme状态<a href="%6a%61%76%61%73%63%72%69%70%74:alert(1)"></a>url编码部分为javascript，因为作为协议部分的"javascript"被编码，故不会触发JS122、URL中的**