摘要:
浏览器的进制字符的ascii码值可以转化为进制形式。可以用来绕过XSS filter。HTML属性值中的进制使用 。十进制使用a(字符a); 表示,&#作为前缀,;作为后缀,后缀也可以没有。如果要使用十六进制表示,则使用a1 会自动解析为:css属性名和属性值中的进制使用。完全兼容HTML的进制表示方式,另外可以使用\ 作为16进制数值前缀。使用\ 16进制形式时属性名和属性值之间的:的冒号要保留。比如可以用\ 16进制表示1 javascript字符串中的进制使用。八进制用\56表示,十六进制用\x5c表示,多字节字符编码只能用十六进制Unicode编 阅读全文
