浏览器在什么时候将html的实体编码还原？请教，谢谢！

物润声无 2012-08-15 09:49:26

最近在做web防XSS的活，为了防止用户注入脚本代码，于是要对客户的输入进行验证，方法之一就是过滤掉客户输入的特殊字符，对其重新编码，类如：< < > >
浏览器最终显示的时候还原成了 < 和 >，
问：将 <还原成 < 的工作是浏览器在哪一部做的呢？原理怎么实现的？

附上：
浏览器内部工作原理

该文章介绍了浏览器的工作原理，但没有解决我的疑惑，还请明白人指教！

...全文

141 3 打赏收藏转发到动态举报

写回复

用AI写文章

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

物润声无 2012-08-19

打赏
举报

晕倒，在唱独角戏了~

物润声无 2012-08-16

打赏
举报

没人回答，自己顶一下~

物润声无 2012-08-15

打赏
举报

先说下自己的想法：
由于采取了实体编码的形式替换特殊字符，在解析html时词法分析器会跳过它，不把它当成html标识挂在Dom tree上，脚本解释器也会跳过它，不去解释这段脚本，从而达到了放XSS的效果？对吗？

将<还原成 < ，是因为在浏览器端存有一张映射表，在painting 或是在 display是读取该映射表，将其还原, 想法对吗？

谢谢~

渗透测试工程师面试题大全（三） from:backlion大佬整理 101.什么是 WebShell? WebShell 就是以 asp、php、jsp 或者 cgi 等网页文件形式存在的─种命令执行环境，也可以将其称做为─种网页后门。黑客在入侵了─个网站后，通常会将这些 asp 或 php 后门文件与网站服务器 WEB 目录下正常的网页文件混在─起，然后就可以使用浏览器来访问这些 asp 或者...

https://www.cnblogs.com/christychang/p/6041012.html 网络安全、Web安全、渗透测试之笔经面经总结（三）本篇文章涉及的知识点有如下几方面： 1.什么是WebShell? 2.什么是网络钓鱼？ 3.你获取网络安全知识途径有哪些？ 4.什么是CC攻击？ 5.Web服务器被入侵后，怎样进行排查？ 6.dll文件是什么意思，有什么用？DLL劫持原理 7....

WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的─种命令执行环境，也可以将其称做为─种网页后门。黑客在入侵了─个网站后，通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在─起，然后就可以使用浏览器来访问这些asp或者php后门，得到─个命令执行环境，以达到控制网站服务器的目的（可以上传下载文件，查看数据库，执行任意程序命令等）。国内常用的WebShell有海阳ASP木马，Phpspy，c99shell等。

WebShell就是以aspphp、jsp 或者cgi等网页文件形式存在的─种命令执行环境，也可以将其称做为─种网页后门。黑客在入侵了─个网站后，通常会将这些asp 或php后门文件与网站服务器WEB目录下正常的网页文件混在─起，然后就可以使用浏览器来访问这些 asp或者php后门，得到─个命令执行环境，以达到控制网站服务器的目的（可以上传下载文件，查看数据库，执行任意程序命令等）。国内常用的 WebShell有海阳ASP木马，Phpspy。

CTF中的MISC部分主要涉及安全攻防知识，包括隐写、数据还原、脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。MISC（中文即杂项）主要包括文件结构简介和隐写两个方面。文件结构简介涉及常见文件格式、文件头、文件尾等，而隐写部分主要介绍文档、图片及音频的隐写方式，如Word文档隐写、PDF文档隐写、图片隐写等。