HTML 转义字符：使用转义和转回 HTML 字符的 xss 攻击

最编程 2024-04-28 11:24:11

...

xss与转义符

xss简单来说：

XSS 攻击是页面被注入了恶意的代码
XSS 漏洞是可以让攻击者注入恶意代码可执行的漏洞

具体参看之前写的：

web开发前端安全问题总结——web前端安全问题汇总 https://www.zhoulujun.cn/html/webfront/SGML/web/2017_0503_8004.html
前端安全配置xss预防针Content-Security-Policy(csp)配置详解 https://www.zhoulujun.cn/html/webfront/SGML/web/2017_0503_8004.html
script新属性integrity与web安全，再谈xss https://www.zhoulujun.cn/html/webfront/ECMAScript/js6/2018_0521_8115.html

为了xss，常见的转义符

字符	转义后的字符
&	&
<	<
>	>
"	"
'	'
/	/

转义只是防止xss攻击的一种手段之一，更多请查看：《web开发前端安全问题总结——web前端安全问题汇总》

html转义与反转义方法

html转义

lodashjs

lodashjs作为常用，集成了escape 方法

https://www.lodashjs.com/docs/lodash.escape

DOM API

转义方法

let textNode = document.createTextNode(`<script src='https://www.zhoulujun.cn/xxs.js'></script>`);
let div = document.createElement('div')
div.append(textNode);
console.log(div.innerHTML);

反转义方法

let str = `&lt;script src='let doc = new DOMParser().parseFromString(str, 'text/html'); 
console.log(doc.documentElement.textContent);

字符串替换处理转义与反转义

就是正则替换，这里想不讲了，能用库太多了，去看一下源码就好了

HTML常用转义字符对照表

最常用的字符实体 Character Entities

显示	说明	实体名称	实体编号
	半方大的空白	&ensp;
	全方大的空白	&emsp;
	不断行的空白格
<	小于	<	<
>	大于	>	>
&	&符号	&	&
"	双引号	"	"
©	版权	©	©
®	已注册商标	®	®
™	商标（美国）	™	™
×	乘号	×	×
÷	除号	÷	÷

ISO 8859-1 (Latin-1)字符集

HTML 4.01 支持 ISO 8859-1 (Latin-1) 字符集。

备注：为了方便起见，以下表格中，“实体名称”简称为“名称”，“实体编号”简称为“编号”

显示	名称	编号	显示	名称	编号	显示	名称	编号	显示	名称	编号	显示	名称	编号
			¡	¡	¡	¢	¢	¢	£	£	£	¤	¤	¤
¥	¥	¥	¦	¦	¦	§	§	§	¨	¨	¨	©	©	©
ª	ª	ª	«	«	«	¬	¬	¬				®	®	®
¯	¯	¯	°	°	°	±	±	±	²	²	²	³	³	³
´	´	´	µ	µ	µ	¶	¶	¶	·	·	·	¸	¸	¸
¹	¹	¹	º	º	º	»	»	»	¼	¼	¼	½	½	½
¾	¾	¾	¿	¿	¿	À	À	À	Á	Á	Á	Â	Â	Â
Ã	Ã	Ã	Ä	Ä	Ä	Å	Å	Å	Æ	Æ	Æ	Ç	Ç	Ç
È	È	È	É	É	É	Ê	Ê	Ê	Ë	Ë	Ë	Ì	Ì	Ì
Í	Í	Í	Î	Î	Î	Ï	Ï	Ï	Ð	Ð	Ð	Ñ	Ñ	Ñ
Ò	Ò	Ò	Ó	Ó	Ó	Ô	Ô	Ô	Õ	Õ	Õ	Ö	Ö	Ö
×	×	×	Ø	Ø	Ø	Ù	Ù	Ù	Ú	Ú	Ú	Û	Û	Û
Ü	Ü	Ü	Ý	Ý	Ý	Þ	Þ	Þ	ß	ß	ß	à	à	à
á	á	á	â	â	â	ã	ã	ã	ä	ä	ä	å	å	å
æ	æ	æ	ç	ç	ç	è	è	è	é	é	é	ê	ê	ê
ë	ë	ë	ì	ì	ì	í	í	í	î	î	î	ï	ï	ï
ð	ð	ð	ñ	ñ	ñ	ò	ò	ò	ó	ó	ó	ô	ô	ô
õ	õ	õ	ö	ö	ö	÷	÷	÷	ø	ø	ø	ù	ù	ù
ú	ú	ú	û	û	û	ü	ü	ü	ý	ý	ý	þ	þ	þ
ÿ	ÿ	ÿ

数学和希腊字母标志 symbols, mathematical symbols, and Greek letters

显示	名称	编号	显示	名称	编号	显示	名称	编号	显示	名称	编号	显示	名称	编号
ƒ	&fnof;	ƒ	Α	Α	Α	Β	Β	Β	Γ	Γ	Γ	Δ	Δ	Δ
Ε	Ε	Ε	Ζ	Ζ	Ζ	Η	Η	Η	Θ	Θ	Θ	Ι	Ι	Ι
Κ	Κ	Κ	Λ	Λ	Λ	Μ	Μ	Μ	Ν	Ν	Ν	Ξ	Ξ	Ξ
Ο	Ο	Ο	Π	Π	Π	Ρ	Ρ	Ρ	Σ	Σ	Σ	Τ	Τ	Τ
Υ	Υ	Υ	Φ	Φ	Φ	Χ	Χ	Χ	Ψ	Ψ	Ψ	Ω	Ω	Ω
α	α	α	β	β	β	γ	γ	γ	δ	δ	δ	ε	ε	ε
ζ	ζ	ζ	η	η	η	θ	θ	θ	ι	ι	ι	κ	κ	κ
λ	λ	λ	μ	μ	μ	ν	ν	ν	ξ	ξ	ξ	ο	ο	ο
π	π	π	ρ	ρ	ρ	ς	&sigmaf;	ς	σ	σ	σ	τ	τ	τ
υ	υ	υ	φ	φ	φ	χ	χ	χ	ψ	ψ	ψ	ω	ω	ω
?	&thetasym;	ϑ	?	&upsih;	ϒ	?	ϖ	ϖ	•	•	•	…	…	…
′	′	′	″	″	″	‾	&oline;	‾	⁄	&frasl;	⁄	℘	&weierp;	℘
ℑ	&image;	ℑ	ℜ	&real;	ℜ	™	™	™	ℵ	&alefsym;	ℵ	←	←	←
↑	↑	↑	→	→	→	↓	↓	↓	↔	↔	↔	↵	&crarr;	↵
⇐	⇐	⇐	⇑	&uArr;	⇑	⇒	⇒	⇒	⇓	&dArr;	⇓	⇔	⇔	⇔
∀	∀	∀	∂	∂	∂	∃	∃	∃	∅	∅	∅	∇	∇	∇
∈	∈	∈	∉	∉	∉	∋	&ni;	∋	∏	∏	∏	∑	∑	∑
−	−	−	∗	&lowast;	∗	√	√	√	∝	&prop;	∝	∞	∞	∞
∠	&ang;	∠	∧	&and;	∧	∨	&or;	∨	∩	∩	∩	∪	∪	∪
∫	∫	∫	∴	&there4;	∴	∼	&sim;	∼	∝	&cong;	≅	≈	≈	≈
≠ 上一篇： layui+distpicker.js 快速实现省市县多级联动下一篇：如何解决 Windows 本地微服务并发启动后的端口占用问题推荐阅读使用 HTML 转义字符换行和回车等。 HTML 转义字符：使用转义和转回 HTML 字符的 xss 攻击南邮OJ Web任务大揭秘：层层挑战剖析 1. 挑战一：迷宫般的目录探索题目作者似乎穷举了所有可能的目录组合，最终在404.php中的

显示	名称	编号	显示	名称	编号	显示	名称	编号	显示	名称	编号	显示	名称	编号
			¡	¡	¡	¢	¢	¢	£	£	£	¤	¤	¤
¥	¥	¥	¦	¦	¦	§	§	§	¨	¨	¨	©	©	©
ª	ª	ª	«	«	«	¬	¬	¬				®	®	®
¯	¯	¯	°	°	°	±	±	±	²	²	²	³	³	³
´	´	´	µ	µ	µ	¶	¶	¶	·	·	·	¸	¸	¸
¹	¹	¹	º	º	º	»	»	»	¼	¼	¼	½	½	½
¾	¾	¾	¿	¿	¿	À	À	À	Á	Á	Á	Â	Â	Â
Ã	Ã	Ã	Ä	Ä	Ä	Å	Å	Å	Æ	Æ	Æ	Ç	Ç	Ç
È	È	È	É	É	É	Ê	Ê	Ê	Ë	Ë	Ë	Ì	Ì	Ì
Í	Í	Í	Î	Î	Î	Ï	Ï	Ï	Ð	Ð	Ð	Ñ	Ñ	Ñ
Ò	Ò	Ò	Ó	Ó	Ó	Ô	Ô	Ô	Õ	Õ	Õ	Ö	Ö	Ö
×	×	×	Ø	Ø	Ø	Ù	Ù	Ù	Ú	Ú	Ú	Û	Û	Û
Ü	Ü	Ü	Ý	Ý	Ý	Þ	Þ	Þ	ß	ß	ß	à	à	à
á	á	á	â	â	â	ã	ã	ã	ä	ä	ä	å	å	å
æ	æ	æ	ç	ç	ç	è	è	è	é	é	é	ê	ê	ê
ë	ë	ë	ì	ì	ì	í	í	í	î	î	î	ï	ï	ï
ð	ð	ð	ñ	ñ	ñ	ò	ò	ò	ó	ó	ó	ô	ô	ô
õ	õ	õ	ö	ö	ö	÷	÷	÷	ø	ø	ø	ù	ù	ù
ú	ú	ú	û	û	û	ü	ü	ü	ý	ý	ý	þ	þ	þ
ÿ	ÿ	ÿ

显示	名称	编号	显示	名称	编号	显示	名称	编号	显示	名称	编号	显示	名称	编号
			¡	¡	¡	¢	¢	¢	£	£	£	¤	¤	¤
¥	¥	¥	¦	¦	¦	§	§	§	¨	¨	¨	©	©	©
ª	ª	ª	«	«	«	¬	¬	¬				®	®	®
¯	¯	¯	°	°	°	±	±	±	²	²	²	³	³	³
´	´	´	µ	µ	µ	¶	¶	¶	·	·	·	¸	¸	¸
¹	¹	¹	º	º	º	»	»	»	¼	¼	¼	½	½	½
¾	¾	¾	¿	¿	¿	À	À	À	Á	Á	Á	Â	Â	Â
Ã	Ã	Ã	Ä	Ä	Ä	Å	Å	Å	Æ	Æ	Æ	Ç	Ç	Ç
È	È	È	É	É	É	Ê	Ê	Ê	Ë	Ë	Ë	Ì	Ì	Ì
Í	Í	Í	Î	Î	Î	Ï	Ï	Ï	Ð	Ð	Ð	Ñ	Ñ	Ñ
Ò	Ò	Ò	Ó	Ó	Ó	Ô	Ô	Ô	Õ	Õ	Õ	Ö	Ö	Ö
×	×	×	Ø	Ø	Ø	Ù	Ù	Ù	Ú	Ú	Ú	Û	Û	Û
Ü	Ü	Ü	Ý	Ý	Ý	Þ	Þ	Þ	ß	ß	ß	à	à	à
á	á	á	â	â	â	ã	ã	ã	ä	ä	ä	å	å	å
æ	æ	æ	ç	ç	ç	è	è	è	é	é	é	ê	ê	ê
ë	ë	ë	ì	ì	ì	í	í	í	î	î	î	ï	ï	ï
ð	ð	ð	ñ	ñ	ñ	ò	ò	ò	ó	ó	ó	ô	ô	ô
õ	õ	õ	ö	ö	ö	÷	÷	÷	ø	ø	ø	ù	ù	ù
ú	ú	ú	û	û	û	ü	ü	ü	ý	ý	ý	þ	þ	þ
ÿ	ÿ	ÿ

HTML 转义字符：使用转义和转回 HTML 字符的 xss 攻击

xss与转义符

html转义与反转义方法

html转义

lodashjs

DOM API

转义方法

反转义方法

字符串替换处理 转义与反转义

HTML常用转义字符对照表

最常用的字符实体 Character Entities

ISO 8859-1 (Latin-1)字符集

数学和希腊字母标志 symbols, mathematical symbols, and Greek letters

使用 HTML 转义字符换行和回车等。

HTML 转义字符：使用转义和转回 HTML 字符的 xss 攻击

字符串替换处理转义与反转义

显示	名称	编号	显示	名称	编号	显示	名称	编号	显示	名称	编号	显示	名称	编号
			¡	¡	¡	¢	¢	¢	£	£	£	¤	¤	¤
¥	¥	¥	¦	¦	¦	§	§	§	¨	¨	¨	©	©	©
ª	ª	ª	«	«	«	¬	¬	¬				®	®	®
¯	¯	¯	°	°	°	±	±	±	²	²	²	³	³	³
´	´	´	µ	µ	µ	¶	¶	¶	·	·	·	¸	¸	¸
¹	¹	¹	º	º	º	»	»	»	¼	¼	¼	½	½	½
¾	¾	¾	¿	¿	¿	À	À	À	Á	Á	Á	Â	Â	Â
Ã	Ã	Ã	Ä	Ä	Ä	Å	Å	Å	Æ	Æ	Æ	Ç	Ç	Ç
È	È	È	É	É	É	Ê	Ê	Ê	Ë	Ë	Ë	Ì	Ì	Ì
Í	Í	Í	Î	Î	Î	Ï	Ï	Ï	Ð	Ð	Ð	Ñ	Ñ	Ñ
Ò	Ò	Ò	Ó	Ó	Ó	Ô	Ô	Ô	Õ	Õ	Õ	Ö	Ö	Ö
×	×	×	Ø	Ø	Ø	Ù	Ù	Ù	Ú	Ú	Ú	Û	Û	Û
Ü	Ü	Ü	Ý	Ý	Ý	Þ	Þ	Þ	ß	ß	ß	à	à	à
á	á	á	â	â	â	ã	ã	ã	ä	ä	ä	å	å	å
æ	æ	æ	ç	ç	ç	è	è	è	é	é	é	ê	ê	ê
ë	ë	ë	ì	ì	ì	í	í	í	î	î	î	ï	ï	ï
ð	ð	ð	ñ	ñ	ñ	ò	ò	ò	ó	ó	ó	ô	ô	ô
õ	õ	õ	ö	ö	ö	÷	÷	÷	ø	ø	ø	ù	ù	ù
ú	ú	ú	û	û	û	ü	ü	ü	ý	ý	ý	þ	þ	þ
ÿ	ÿ	ÿ