我有一个安全扫描,在将http参数设置为以下值时会报告XSS漏洞。它呈现一个脚本标记
'1234'"/><img%20src%3D%26%23x6a;%26%23x61;%26%23x76;%26%23x61;%26%23x73;%26%23x63;%26%23x72;%26%23x69;%26%23x70;% 26%23x74;%26%23x3a;alert%26%23x28;5846%26%23x29;>'
它看起来不像html编码或url编码,它对脚本标记有什么样的编码?
答案 0 :(得分:0)
如果“HTTP参数”是指URL参数,则URL编码的八位字节%hh将被解码为:
'1234'"/><img src=javascript:alert(5846)>'
如果该值被打印到一个被解释为HTML的上下文中,则属性值中的字符引用&#xhh;将被解码为:
'1234'"/><img src=javascript:alert(5846)>'