XSS 复合编码 续

对上文 【web安全】第二弹：XSS攻防中的复合编码问题 的一些补充，思路来源于：http://escape.alf.nu/3/

 

html解码的问题：

通过appendChild添加的节点，不会被HTML解码，示例代码如下：

<body>test</body>
<script type="text/javascript">
function escape(s) {
  var url = 'javascript:console.log(' + JSON.stringify(s) + ')';
  console.log(url);

  var a = document.createElement('a');
  a.href = url;
  a.setAttribute("test", "&gt;2333")
  document.body.appendChild(a);
}
s = "&gt;);alert(1)//";
escape(s);
</script>

只有通过innerHTML插入页面的代码才会被HTML解析。

<script type="text/javascript">
    s = '<a href="&gt;">test</a>'
    document.body.innerHTML = s;
</script>

解析后为：

 

URL解码的问题：

URL解码发生在点击链接的时候。示例如下：

在触发点击事件的时候，先进行URL解码，发现javascript伪协议之后，对内容进行JS解析执行。