XSS解决方案系列之四:关于编码
本文准备说明以下几个问题:
1. 关于重复编码的问题
2. 关于编码的多种形式的问题
3. 关于编码的几个常见问题
【说明】
本文所述编码是指encode,可以理解为转义,而不是编程序写代码。
编码或者转义机制替我们解决两个问题:
a. 避免保留字冲突问题,对于web应用来说,XSS问题也是其中一类
b. 表达不可输入字符问题,比如我想在程序当中表达一个键盘上没有不可输入的字符,可以通过编码来解决。
【进入正题】
1. 关于重复编码的问题:
我看了一些第三方的decoder/encoder库函数,相当一部分函数是不进行重复编码的,也就是说,当中函数发现【&#】后面带几个数字再带一个【;】号形式时,就不再对其进行HTML编码,同样,对于URL/JS的处理也这样,这肯定是不对的,它违背了浏览器解码的规律,因为浏览器只会在需要解码的地方进行解码而忽略你给它的字符串是什么形式,为何你要在编码的时候去避免重复编码呢?
我知道部分同行不进行重复编码的原因有许多,有的因为使用了一些第三方的库函数,有的是没搞清楚为谁而编码,编码解决的是什么样根本问题……原因列不全,总之在需要重复编码地方你就进行重复编码是没问题的,放心好了。似乎没有例子,总不能让人看着舒心,好吧,举一个小例子:
http://a.b.c/admin.jsp?d=x&e=6
------redirect-1------->http://a.b.c/login.jsp?backurl_1=http%3A%2F%2Fa.b.c%2Fadmin.jsp%3Fd%3Dx%26e%3D6
------redirect-2-------> http://a.b.c/sso.jsp?backurl_2=http%3A%2F%2Fa.b.c%2Flogin.jsp%3Fbackurl_1%3Dhttp%253A%252F%252Fa.b.c%252Fadmin.jsp%253Fd%253Dx%2526e%253D6
以上redirect-2后面的URL第一次会返回到redirect-1被解码一次,如果redirect-1到redirect-2没有对backurl_1进行重复编码的话,那么再一次由——redirect-2—–>返回到——redirect-1的时候,就会被解码到原型状态,此时如果backurl_1里的参数值含有URL敏感字符,可能就出问题了。
2. 关于编码的多种形式的问题
看一段敏感字符串: 【</>”&#=-’”】

HTML编码-3: 【&#lt;…..】
JS编码-1: 【\<\/\>\”\&\#\=\-\’\”】
JS编码-2: 【\x3C\x2F\x3E\x22\x26\x23\x3D\x2D\x27\x22】
JS编码-3:【\u003C\u002F\u003E\u0022\u0026\u0023\u003D\u002D\u0027\u0022】
URL编码:【%3C%2F%3E%22%26%23%3D-%27%22%3F】
仔细观察以上编码,值得看一下的是:HTML编码-1:
,它的中间位置的数字其实就是当前字符ISO8859-1的编码表示,第二种形式则是基于HTML-1的16进制表示,HTML-3则是别名法表示
对于JS编码,通常对于任何敏感可见字符,你都可以通过【\】+【字符来表达】,所以JS编码-1就是如此,对于-2、-3我觉得也应该一目了然了,与HTML-2都是类似的。
URL编码,应该也不难了吧。
总结一下:浏览器默认会使用ISO8859-1来作为解码的基础,对于HTML/JS/URL只是使用了不同的形式而已,给大家留点问题:
a.
如果Web应用在编程实现时自己指定了字符集,但是却在HTTP
Response的Stream里没有指定字符集,会怎么样,浏览器会不会解码出错?
b. 关于编码的问题,是您不好越却不得不越过的一个小砍,望读者下功夫把字符集、编码的历史沿革及不同编码之间的关系搞清楚,许多问题都迎刃而解了。
3.
关于编码的几个常见问题
a.
有时候只使用一种编码尽管不正确,但是似乎是可以解决XSS问题的,为什么还要使用组合编码?
a) 敏感字符集不同,对于HTML来说,可能【?】号不是敏感字符,但是对于URL来说,它是敏感字符
b)
避免改变用户的输入,只有遵循浏览器解码机制,才是完全正确的,否则都会有这样那样的问题
b. URL编码与URL参数编码的问题:
a) 允不允许使用【Javascript:】+
【javascript函数】类似这样的形式URL的问题是我们进行URL合法性检查的重要部分, 还有ftp://等多种协议
b)
关于URL编码与URL参数的编码,希望你多做实验,找找感觉。我个为认为我们只需要对URL的参数值进行真正意义上的URL编码,而类似于【href】【src】【replace】里一级URL,我们主要是对URL
进行合法性检查,至于为什么,一时半会说不明白,你亲自做实验,效果会更好。
c. 可以重复编码,只要你编码环境没判断错误,重复多少次都没问题。
d.
关于基于JSON数据进行前端复杂的UI绘制的web应用所涉及到的XSS问题,原理完全一致,只是由于语法环境不能一目了然而增加了开发人员判断的难度,但是搞清楚了原理,做对了,在你你fix
XSS问题后就不会遇到诸多bug或者fix不彻底的问题
关于XSS问题,至此告一段落,我相信有了这一系列的纲要,虽然不能保证你可以灵活使用,但是至少你有一条明确的路线可以去走。
还引用那句话:
“知识”与“知识运用”就如牛郎星与织女星,二者之间似乎关系密切,实则相隔甚远!
XSS解决方案系列之四:关于编码的更多相关文章
- .NET 4 并行(多核)编程系列之四 Task的休眠
原文:.NET 4 并行(多核)编程系列之四 Task的休眠 .NET 4 并行(多核)编程系列之四 Task的休眠 前言:之前的几篇文章断断续续的介绍了Task的一些功能:创建,取消.本篇介绍Tas ...
- {MySQL数据库初识}一 数据库概述 二 MySQL介绍 三 MySQL的下载安装、简单应用及目录介绍 四 root用户密码设置及忘记密码的解决方案 五 修改字符集编码 六 初识sql语句
MySQL数据库初识 MySQL数据库 本节目录 一 数据库概述 二 MySQL介绍 三 MySQL的下载安装.简单应用及目录介绍 四 root用户密码设置及忘记密码的解决方案 五 修改字符集编码 六 ...
- nginx高性能WEB服务器系列之四配置文件详解
nginx系列友情链接:nginx高性能WEB服务器系列之一简介及安装https://www.cnblogs.com/maxtgood/p/9597596.htmlnginx高性能WEB服务器系列之二 ...
- Sql Server来龙去脉系列之四 数据库和文件
在讨论数据库之前我们先要明白一个问题:什么是数据库? 数据库是若干对象的集合,这些对象用来控制和维护数据.一个经典的数据库实例仅仅包含少量的数据库,但用户一般也不会在一个实例上创建太多 ...
- Red Gate系列之四 SQL Data Compare 10.2.0.885 Edition 数据比较同步工具 完全破解+使用教程
原文:Red Gate系列之四 SQL Data Compare 10.2.0.885 Edition 数据比较同步工具 完全破解+使用教程 Red Gate系列之四 SQL Data Compare ...
- .Neter玩转Linux系列之四:Linux下shell介绍以及TCP、IP基础
基础篇 .Neter玩转Linux系列之一:初识Linux .Neter玩转Linux系列之二:Linux下的文件目录及文件目录的权限 .Neter玩转Linux系列之三:Linux下的分区讲解 .N ...
- 单元测试系列之四:Sonar平台中项目主要指标以及代码坏味道详解
更多原创测试技术文章同步更新到微信公众号 :三国测,敬请扫码关注个人的微信号,感谢! 原文链接:http://www.cnblogs.com/zishi/p/6766994.html 众所周知Sona ...
- C++ 提取网页内容系列之四正则
标 题: C++ 提取网页内容系列之四作 者: itdef链 接: http://www.cnblogs.com/itdef/p/4173833.html 欢迎转帖 请保持文本完整并注明出处 将网页内 ...
- " XSS易容术---bypass之编码混淆篇+辅助脚本编写"
一.前言本文原创作者:vk,本文属i春秋原创奖励计划,未经许可禁止转载!很多人对于XSS的了解不深.一提起来就是:“哦,弹窗的”.”哦,偷cookie的.”骚年,你根本不知道什么是力量.虽然我也不知道 ...
随机推荐
- linux下安装apache2.4
linux安装Apache2步骤如下 apr 下载地址 http://mirrors.cnnic.cn/apache//apr/apr-1.5.2.tar.gz 安装过程 tar -xzvf apr- ...
- linux下grep命令笔记
grep -i 不区分大小写 --color 添加颜色 alias grep=‘grep --color=auto’ -v 显示没有被模式匹配到的行 -o 只显示 ...
- Yii框架页面运行流程
Yii框架页面运行流程 CComponent | CModel | CActiveRecord.CFormModel(所有模型的父类) | 表名.php(模型) | 入口文件------------- ...
- iis的路径
每次打开iis管理器查看iis指定路径下的文件过于麻烦,而且iis管理器耗资源,以下是iis的路径,以及其对应在本地磁盘的地址 SP2013\Sites\SharePoint - 80\_contro ...
- SQLServer获取最后插入的ID值SCOPE_IDENTITY、IDENT_CURRENT 和 @@IDENTITY的比较
IDENT_CURRENT 返回为任何会话和任何作用域中的特定表最后生成的标识值.IDENT_CURRENT 不受作用域和会话的限制,而受限于指定的表. @@IDENTITY 返回为当前会话的所有作用 ...
- LINQ里的Distinct()
IQueryable 继承自IEnumerable 先举例: #region linq to object List<People> peopleList = new List<Pe ...
- 学习笔记_Java_day12_设计模式MVC(13).JavaWeb的三层框架(14)
MVC 1. 什么是MVC MVC模式(Model-View-Controller)是软件工程中的一种软件架构模式,把软件系统分为三个基本部分:模型(Model).视图(View)和控制器(Contr ...
- mysql的分区技术(建立分区)
-- mysql建立表分区,使用range方法建立: create table t_range( id int(11), money int(11) unsigned not null, date d ...
- webstorm 快捷键
Ctrl+/ 或 Ctrl+Shift+/ 注释(// 或者/*-*/ ) Shift+F6 重构-重命名 Ctrl+X 删除行 Ctrl+D 复制行 Ctrl+G 查找行 Ctrl+Shift+Up ...
- Java实战之01Struts2-05contextMAP、EL、OGNL
十五.contextMap 1.动作类的生命周期 明确:动作类是多例的,每次动作访问,动作类都会实例化.所以是线程安全的.与Struts1的区别是,struts1的动作类是单例的. 2.请求动作的数据 ...