使用“javascript:”伪协议对 URL 进行编码规则？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

Nginx使用Location匹配URL进行伪静态

2.可以根据不同的 URI 使用不同的配置（location 中配置），来处理不同的请求。 3.location 是有顺序的，会被第一个匹配的location 处理。...=，精确匹配 location = / { #规则 } # 则匹配到 `http://www.example.com/` 这种请求...~*，大小写忽略 location ~* /Example/ { #规则 } # 则会忽略 uri 部分的大小写 #http://www.example.com...内部跳转 location /img/ { error_page 404 @img_err; } location @img_err { # 规则...则会匹配到 @img_err 这条规则上。总结 Nginx 中的 location 并没有想象中的很难懂，不必害怕。多找资料看看，多尝试。你就会有收获。

1.6K1 0

如何对curl命令的数据进行url编码

我需要对值进行 url 编码，以确保特殊字符得到正确处理。最好的方法是什么？这是我到目前为止的基本脚本: #!/bin/bash host=${1:?'...使用 curl -V 来检查你的版本。提问者的脚本可以改写为 #!/bin/bash host=${1:?'...tcpdump 对上网的网口开启过滤抓包，在另一个窗口执行命令 bash curl-test.sh example.com "ABC efg" 进行测试，抓包截图如下：可以发现参数 "ABC efg..." 被编码成为 ABC%20efg，即字符空格被编码为 %20。...等特殊字符都有其对应的 URL 编码。参考文档： stackoverflow question 296536 https://manpages.org/curl

1.7K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

原生js上传文件发送JSON，XML，对请求的表单进行URL编码详解

默认情况下HTML表单通过POST方法发送给服务器，而编码后的表单数据为请求主体。规则：使用URL编码，使用等号把编码后的名字和值分开，并使用&符号将名/值对分开。...多用途internet邮件扩展类型,对大小写不敏感，传统写法小写一个栗子用于HTTP请求的编码对象 /* * 编码对象的属性 * 如果它们是来自HTML表单的名/值对，使用application...data) return ''; // 如果传入为空，直接返回字符串 var pairs = []; // 保存名/值对 for(var name in data) { // 进行遍历 if (...} return pairs.join('&'); // 进行连接 } 上方代码将传入的键值对，转换为url的方式提交 function postData(url, data, callback)...formdata.append(name, value); // 添加键值对作为子节点 } // 由于使用FormData将会自动设置头部信息 // 将键值对作为主体进行发送 request.send

5.4K4 0

使用TBtools对叶绿体蛋白编码基因进行GO注释

第一步：根据叶绿体基因组的genbank注释文件获得蛋白编码基因序列提取序列的python脚本 import sys from Bio import SeqIO input_file = sys.argv...python extract_CDS_from_gb.py input.gb output.fasta 第二步：使用diamond将叶绿体的蛋白编码基因与swissprot数据库比对，获得TBtools...TBtools进行GO注释需要准备的文件 idmapping.tb.gz 文件比较大这里推荐一个下载器 https://motrix.app/ 界面非常干净清爽 go-basic.obo cp_Protein_coding.xml...这样GO注释就做好了，TBtools也会对应有可视化工具，这里我选择使用R语言的ggplot2进行展示 library(ggplot2) df<-read.csv("Bhagwa_cp_protein_coding.csv...image.png 对结果进行可视化遇到的问题数据框如何根据指定列分组排序，比如我的数据 X Y 1 A 1 2 A 2 3 B 3 4 B 4 5 C 5 6 C 6 我想ABC分别从大到小排序

5.7K2 0

如何使用Java对图片和Base64编码进行互相转换？

很多网上教程，使用StringUtil这类过时的Java包，或者使用Oracle的sun包（如：sun.misc.BASE64Decoder、sun.misc.BASE64Encoder。...使用Oracle的sun包，因为许可证协议问题，在实际开发中，商用不提倡。所以这边我们不使用StringUtil或Oracle的sun包来对图片和Base64编码操作。...图片转Base64 public static String encodeImgageToBase64(File imageFile) { // 将图片文件转化为字节数组字符串，并对其进行...Base64编码处理 // 其进行Base64编码处理 byte[] data = null; // 读取图片字节数组 try {...) { //对字节数组字符串进行Base64解码并生成图片 if (imageBase64 == null) //图像数据为空 return false

4.9K2 0

可以被XSS利用的HTML标签和一些手段技巧

–src加伪协议js代码不能触发–> javascript:alert(‘video:onclick’)“ onerror=“javascript:alert...--这些标签中src加伪协议js代码不能触发，IE8以前的时候可以--> img、video、audio标签 onclick:点击触发 onerror:当src加载不出来时触发 onload...所谓百分再百分，就是把%给url编码成%25 如果在后台对参数有再次进行urldecode，或者输出时有urldecode那么就可以绕过WAF，所以各位在造轮子，千万小心画蛇添足 Base64编码绕过...’123′ )“>Hello Hello tip其实在标签内的所有伪协议...一种就是把跳转的url端口设置低于80 譬如输入http://xss.com:0” onclick=”alert(/1/) ,还可以使用CSP策略嵌入一个iframe 拿来配合CRLF进行XSS会很舒服

4.4K9 0

【WAF剖析】10种XSS某狗waf绕过姿势，以及思路分析

二、混淆伪装绕过混淆伪装是一种常见的绕过WAF的手段，攻击者通过编码、大小写混淆、双写、转义字符等方式对恶意脚本进行伪装，使其绕过WAF的关键词过滤规则。...例如，将JavaScript代码中的关键字进行大小写混淆（如），或者使用Unicode编码、Base64编码等方式对代码进行编码。...攻击者可以尝试使用其他可以执行JavaScript代码的HTML标签（如, , 等）替换常用的标签，或者使用其他事件函数（如onerror, oninput...攻击者可以通过分析WAF的配置规则，构造绕过WAF检测的请求。「旁站绕过」：在某些情况下，网站管理员可能只对主站进行了WAF防护，而忽略了旁站或子域名的防护。...❝ XSStrike开源地址：https://github.com/s0md3v/XSStrike ❞六、其他技巧「利用伪协议」：某些HTML属性支持伪协议（如javascript:），攻击者可以利用这些属性执行恶意脚本

6861 0

前端XSS相关整理

等价于（使用JS的方法进行的URL编码） javascript:alert(1%3C2)">abc 等价于（使用转换成对应ASCII编码对应2位16进制数字的URL编码...：Javascript编码 -> URL编码 -> HTML编码解码顺序：HTML解码 -> URL解码 -> Javascript解码这里还需要注意的是，在URL的编码中，不能对协议类型（这里的...1.4.7 谨防 javascript: 伪协议链接中带有 javascript: 伪协议可执行对应的脚本，常见于 a 的 href 标签和 iframe的 src 中 javascript...= getUrlParam('urlTo'); 普通的HTML实体符并不能过滤这个伪协议需要知道的是，javascript: 能够正常工作的前提为：开始URL解析时没有经过编码解决方案： 1. ...还可以单独限制伪协议，直接对 javascript: 进行过滤过滤时需要兼容多层级的嵌套： javajavajavascript:script:script:alert(1) 同时显示的时候，将多余的冒号

5K3 2

javascript伪协议解析

前言首先来介绍一下这个伪协议，JavaScript伪协议最重要的，其实就是可以用来执行js的代码，哪些地方可以用呢， a标签的href里面，iframe标签的src里面，甚至form标签的action...，然后这个功能可能没什么过滤，那么就可以尝试插入javascript伪协议进行xss ">link` 这里虽然将";做了编码，但是没办法新增标签，也没办法跳脱引号新增属性，但是攻击者可以插入javascript伪协议 vue中案例： import...，中间就是使用:进行分割。...最后搭配url，进行编码，产生出一个密码只有合法的网址 javascript:alert%28%27Slonser%20was%20here%21%27%29%3B%2F%2F@github.com#;

8631 0

干货 | 学习XSS从入门到熟悉

73%73%22%29"> 注意，伪协议头 javascript: 是不能进行编码的。...这里就有一个URL解析过程中的一个细节了，即不能对协议类型进行任何的编码操作，否则URL解析器会认为它无类型，就会导致DOM节点中被编码的“javascript”没有被解码，当然不会被URL解析器识别了...但是伪协议头 javascript: 可以进行HTML编码。 Javascript 编码我们可以将DOM节点中的内容转化为 Javascript 编码。...u0065\u0072\u0074("\u0078\u0073\u0073")>test 但要注意，我们同样也不能对伪协议头 javascript: 进行 Javascript 编码。...对alert("xss")进行URL编码javascript:%61%6c%65%72%74%28%22%78%73%73%22%29>test// 对javascript:进行

5.2K4 2

PHP代码审计02之filter_var()函数缺陷

通过对两个过滤器的了解，我们想想该如何绕过呢？，其实，这里可以通过JavaScript伪协议来绕过，为了更好的理解，这里写一小段简单的代码。...($url); echo "url'>测试一下"; 下面我们构造payload，用JavaScript伪协议来绕过，payload为：javascript://test%250aalert...而上面我们分析了，可以使用伪协议来绕过filter_var的检查，至于正则判断，只要我们结尾包含test.com,就绕过了正则检查。...现在我们设置payload：javascript://123";ls;"test.com 伪协议绕过了filter_var检查。...但是没有对XSS进行过滤。下面我们来构造payload。

2.6K4 2

XSS绕过技巧

--tshauie-->ipt> JavaScript 编码绕过思路：后台有可能会对代码中的关键字进行过滤，但我们可以尝试将关键字进行编码后在插入。...一次编码案例 #使用事件属性onerror()的原始payload: #使用HTML_ENTITY编码后的... #再用url编码alert的中间结果 <a herf="javascrips...)' JavaScript href伪协议绕过当输入的值在 a 标签 herf 里 payload：javascript:alert(1111) JavaScript 直接代入 a 标签 herf...而在这一套新的标准遵循XML解析规则，在XML中实体编码会自动转义，重新来一遍标签开启状态，此时就会执行xss了。结语记忆，总会传承下去，无论是用何种方式。

1.1K1 0

XSS绕过实战练习

level2 发现对html特殊符号进行了实体编码，失效，但是发现下面input标签里还有一个输出点，可以对这个构造事件payload ?...因为这里是先添加一个链接，再打开这个链接，会打开另一个界面，就不在本界面弹窗，所以外部调用不可行只能用伪协议javascript:alert(/xss/),但script会被替换那我们只有尝试编码绕过了...，当然对其他字符进行编码也可以，目的在于绕过服务端的匹配。...83, 83, 34, 41, 59) eval(FromCharCode(97,108,101,114,116,40,39,120,115,115,39,41)) javascript伪协议绕过无法闭合双引号的情况下...，就无法使用onclick等事件，只能伪协议绕过，或者调用外部js 换行绕过正则匹配 onmousedown =alert(1) 注释符 // 单行注释 <!

3.9K1 0

「Android音视频编码那点破事」第六章，使用MediaMuxer对音视频进行混合封装

封面出自：板栗懒得很本章仅对部分代码进行讲解，以帮助读者更好的理解章节内容。本系列文章涉及的项目HardwareVideoCodec已经开源到Github，支持软编和硬编。...使用它你可以很容易的实现任何分辨率的视频编码，无需关心摄像头预览大小。一切都如此简单。目前已迭代多个稳定版本，欢迎查阅学习和使用，如有BUG或建议，欢迎Issue。 ...MediaMuxer的使用比较简单，方法很少，就那么几个。...*/ start() /** * 用于向Muxer写入编码后的音视频数据。...release() } 本章知识点：使用MediaMuxer对音视频进行混合封装。本章相关源码·HardwareVideoCodec项目： MuxerImpl

1K2 0

Python 技术篇 - 使用unicode_escape对js的escape()方法编码后的字符串进行解码实例演示

这是 javascript 的 escape() 编码后的效果。...xpath.encode('utf-8').decode('unicode_escape') print("\n解码后：\n" + xpath) 效果图如下：这是 python 仿 js escape() 方法的编码过程...t部门成立时间%t%i部门%i//*[@fieldid="dept_form-area"]//*[@fieldid="createdate"]//*[text()="部门成立时间"]' print("编码前...xpath = xpath.encode('unicode_escape').decode('utf-8') xpath = xpath.replace('\\u', '%u') print("\n编码后

2.2K1 0

Cross-Site Scripting XSS漏洞

伪协议 javascript:alert("拈花倾城!!")...'拈花倾城') // 单引号闭合+事件标签 javascript:alert('拈花倾城') // JavaScript伪协议九、XSS之href输出用户输入的url会作为a标签的href属性值...但也不是没办法了，W3School中对标签的href属性有以下描述: 标签的 href 属性用于指定超链接目标的 URL: href 属性的值可以是任何有效文档的相对或绝对 URL，包括片段标识符和...从上述描述可见，这边可以利用JavaScript协议,输入payload： javascript:alert(document.cookie) 十、XSS之js输出输入内容被动态生成到网页的js代码中了...，如果想要用htmlspecialchars对我们的输入做实体编码处理的话, 在JS中不会把它解释会去，虽然这样解决了XSS问题，但不能构成合法的JS 所以在JS的输出点应该对应该使用 \ 对特殊字符进行转义

1.6K1 0

干货|超详细的常见漏洞原理笔记总结

2、伪协议使用（1）php://filter 可以利用它进行任意文件读取，只需要开启 allow_url_fopen 。用法：/06.php?...（3）data://伪协议是执行文件的包含方法包含了你的输入流，通过你输入payload来实现目的；用法：/10.php?...如果php.ini里的allow_url_include=On（PHP < 5.3.0）,就可以造成任意代码执行，同理在这就可以理解成远程文件包含漏洞（RFI） (4)file://伪协议利用访问本地文件系统...步骤：写一个一句话木马文件shell.php，然后用zip协议压缩为shell.zip，然后将后缀改为png等其他格式。 (6)zip://伪协议 zip伪协议和phar协议类似，但是用法不一样。...此外，在把变量输出到页面时要做好相关的编码转义工作。如要输出到中，可以进行JavaScript编码；要输出到HTML内容或属性，则进行HTML编码处理。

2.4K3 1

长亭WAF XSS防护绕过小记

利用伪协议，拦截 javascript:alert(1)"> 添加标签属性进行混淆，比如xmlns属性，拦截 javascript:alert(1)...open ontoggle=\u0065val(atob('YWxlcnQoMSk='))> 编码尝试了URL编码、Unicode编码、Base64编码、JS8编码、JS16编码、Ascii编码等，...编码常见的编码类型：URL编码、base64编码、Hex编码、JS8编码、JS16编码、Unicode编码、html编码既然是编码肯定需要一些函数来执行，比如：eval，setTimeout，setInterval...伪协议常见的伪协议有：javascript:，vbscript:(IE下)，data: #javascript:alert...) 10. unescape unescape()函数用于对已经使用escape()函数编码的字符串进行解码，并返回解码后的字符串。

6.7K5 0

网页抓取混淆与嵌套数据处理流程

混淆大部分都是为了防止爬虫而设计的，例如使用JavaScript动态加载、数据加密、字符替换、CSS偏移等。多层嵌套则可能是指HTML结构复杂，数据隐藏在多层标签或者多个iframe中。...font.getBestCmap() glyph_names = [font['glyf'][g].getGlyphName() for g in cmap.values()] # 建立编码到实际字符的映射...# 伪代码示例from sklearn.ensemble import RandomForestClassifier# 特征：标签深度/子节点数/文本长度等clf = RandomForestClassifier.../CSS规则进行本地缓存熔断机制：设置异常阈值自动停止爬取分布式处理：使用Scrapy+Scrapy-Redis处理大规模数据遇到具体案例时，建议：使用浏览器开发者工具的"元素覆盖检测"功能分析网络请求中的...XHR/Fetch请求对比多页面结构寻找稳定特征对混淆代码进行AST语法树分析最后需要提醒的是：处理复杂网站时，我们优先检查是否有官方API可用，并遵守robots.txt协议。

2191 0

05.HTML脚本字符实体URL速查列表

提示：使用实体名而不是数字的好处是，名称易于记忆。不过坏处是，浏览器也许并不支持所有实体名称（对实体数字的支持却很好）。...URL可以由字母组成，如"runoob.com"，或互联网协议（IP）地址： 192.68.20.50。大多数人进入网站使用网站域名来访问，因为名字比数字更容易记住。...---- URL 字符编码 URL 只能使用 ASCII 字符集. 来通过因特网进行发送。由于 URL 常常会包含 ASCII 集合之外的字符，URL 必须转换为有效的 ASCII 格式。...URL 编码使用 "%" 其后跟随两位的十六进制数来替换非 ASCII 字符。 URL 不能包含空格。URL 编码通常使用 + 来替换空格。...---- 在线实例如果您点击下面的"提交"按钮，浏览器会在发送输入之前对其进行 URL 编码。服务器上的页面会显示出接收到的输入。试着输入一些字符，然后再次点击提交按钮。 ?

2K4 0

点击加载更多

Nginx使用Location匹配URL进行伪静态

如何对curl命令的数据进行url编码

原生js上传文件发送JSON，XML，对请求的表单进行URL编码详解

使用TBtools对叶绿体蛋白编码基因进行GO注释

如何使用Java对图片和Base64编码进行互相转换？

可以被XSS利用的HTML标签和一些手段技巧

【WAF剖析】10种XSS某狗waf绕过姿势，以及思路分析

前端XSS相关整理

javascript伪协议解析

干货 | 学习XSS从入门到熟悉

PHP代码审计02之filter_var()函数缺陷

XSS绕过技巧

XSS绕过实战练习

「Android音视频编码那点破事」第六章，使用MediaMuxer对音视频进行混合封装

Python 技术篇 - 使用unicode_escape对js的escape()方法编码后的字符串进行解码实例演示

Cross-Site Scripting XSS漏洞

干货|超详细的常见漏洞原理笔记总结

长亭WAF XSS防护绕过小记

网页抓取混淆与嵌套数据处理流程

05.HTML脚本字符实体URL速查列表

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐