我正在研究XSS攻击,然后我发现我们可以XSS某人使用不包含字符<或>的字符串,但它仍然有效:
%3Cscript%3Dalert(XSS%20Example)%3C%2Fscript%3E
这让我认为浏览器将上面的字符串理解为与
相同<script>alert...
因此,浏览器HTML解析器将条目%3C理解为<字符。为什么浏览器会这样做?还有另一种方法来表示仍然可以用于XSS的角色<吗?我如何确定某些条目不会被评估为<或>?我在哪里可以阅读有关在HTML中表示符号的不同方法,这些方法将被浏览器HTML解析器接受?