htmlEncode 的标签

在html中&lt;和&#60;显示为<;这事html的两种编码方式,在title,iframe,noscript,noframes,plaintext中会对其中的html进行编码,<----&lt;从而他们不会去执行,而在其他标签内,不会进行html编码,innerHTML是编码后,但是value是编码前的,应该是html显示的时候给解析了,今天还了解了html和JavaScript的自解码机制,

html有两种编码,1&#xH,2htmlencode  JavaScript有3中1,Unicode形式 \uH(16进制) 2,普通16进制,春转义的。   在JavaScript执行前会将所有的转移的字符还原,html环境下依然如此。

 

今天测试了几个网站,最恶心的就是浏览器的过滤器,水平比较垃圾无法越过,只好先把关掉了,在测试xss的时候,先要测试“'<>这些符号,看是否有过滤,然后再弄其他的

你可能感兴趣的:(encode)