\u0026\u006c\u0074\u003b\u0073\u0063\u0072\u0069\u0070\u0074\u0026\u0067\u0074\u003b\u0061\u006c\u0065\u0072\u0074\u0028\u0026\u0071\u0075\u006f\u0074\u003b\u0078\u0073\u0073\u0026\u0071\u0075\u006f\u0074\u003b\u0029\u0026\u006c\u0074\u003b\u002f\u0073\u0063\u0072\u0069\u0070\u0074\u0026\u0067\u0074\u003b \u003c\u0073\u0063\u0072\u0069\u0070\u0074\u003e\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003c\u002f\u0073\u0063\u0072\u0069\u0070\u0074\u003e 在线工具:http://tool.chinaz.com/tools/...两段unicode代码明显不同,但是经由在线转换工具竟然都是转成<script>alert("xss")</script>,和解?希望有经验的朋友可以讲解一下。
1 回答
慕哥6287543
TA贡献1831条经验 获得超10个赞
第一段中,你取前4个Unicode码一一解析看,其实就是<,也就是<小于符号的实体表示
第二段中,是直接用<小于符号的Unicode码
两段中只有一些符号用实体的码表示还是直接是符号本身的码表示,区别就在这
而对于里面的正文,其实是一样的,你可以看到中间有几段码是一样的,这就是不需要实体表示的码
添加回答
举报
0/150
提交
取消