标题：javascript事件解码引起的问题
出处：WoYiGui's BLoG
时间：Fri, 22 Jan 2010 18:39:10 +0000
作者：woyigui
地址：http://www.woyigui.cn/javascript-decode-xss/

内容：
   在javascript 事件中，当参数是经过编码的值，javascript 会将期解码进行执行，如下代码。
<a href=# onmousemove="&#97;&#108;&#101;&#114;&#116;&#40;&#47;&#119;&#111;&#121;&#105;&#103;&#117;&#105;&#47;&#41;">xxx</a>

另外，由于 javascript 支持 函数参数可以是 函数特性，如下代码：
<script>x( alert(1) );</script>

利用两种特性，就可以引发如下的安全问题：
<a href="#" onmousemove="xxx('&#39;+alert(1)+&#39;',44);return false;">woyigui</a> 

当 javascript 代码经过编码带入页面，可以利用事件执行时解码的特性对单引号进行闭合，然后利用 函数参数 可以是 函数的特性进行代码。该方法不能直接用于 《script》内，比如如下代码是不能执行的：
<script>
xxx('&#39;+alert(1)+&#39;');
</script>

由于如上问题，在特定应用环境中，处理与解决 DOM 型XSS 的时候，将更具有挑战。解决方法就是在解码后，再次使用 \ 符号对其处理，但是考虑到特殊应用可能有所影响。


Generated by Bo-blog 2.1.1 Release