我在某处读过,宣布字符集
是一种好习惯 <meta charset="utf-8">
您的文件,以防止严重的安全风险。
如果有人不在html文档中定义字符集会有什么风险?
答案 0 :(得分:4)
有一类XSS称为UTF-7 XSS。
在此编码下,+ADw-呈现为<,+AD4-呈现为>。这使得攻击者可以注入
+ADw-script+AD4-alert(document.location)+ADw-/script+AD4-
并将其渲染并由浏览器解释为
<script>alert(document.location)</script>
。
旧版本的Internet Explorer会自动检测字符集。因此,如果在响应头或元标记中没有指定字符集,那么序列的输出,例如+ADw&#34; trick&#34; Internet Explorer使用UTF-7渲染页面,使任何此类注入的脚本执行。这导致了XSS漏洞。