教育网站制作哪家服务好,网站建设的相应技术,劳务公司网站建设,海南e登录apphtml标签
#xff08;1#xff09;detail标签
details标签用来折叠内容#xff0c;浏览器会折叠显示该标签的内容。
1 含义#xff1a;
details
这是一段解释文本。
/details
用户点击这段文本#xff0c;折叠的文本就会展开#x…html标签
1detail标签
details标签用来折叠内容浏览器会折叠显示该标签的内容。
1 含义
details
这是一段解释文本。
/details
用户点击这段文本折叠的文本就会展开显示详细内容。
▼ 详细信息
这是一段解释文本。
2 例
!DOCTYPE html
html langen
headmeta charsetUTF-8meta nameviewport contentwidthdevice-width, initial-scale1.0titleDocument/title
/head
body!-- onjs事件 --details ontogglealert(1)!-- 标签进行切换时会出发某个函数 --这是一个details标签/details phello/p!-- 等同于html的实体编码 --p#104;#101;#108;#108;#111;/p!-- lt;和gt; html将的编码解析在页面展现。因为被html编码所以无法执行--lt;scriptgt; alert(1); lt;/scriptgt;
/body
/html 2iframe标签
iframe标签用于在网页里面嵌入其他网页。
1 基本用法 iframe标签生成一个指定区域在该区域中嵌入其他网页。它是一个容器元素如果浏览器不支持iframe就会显示内部的子元素。 例iframe嵌入bilibili
!DOCTYPE html
html langen
headmeta charsetUTF-8meta nameviewport contentwidthdevice-width, initial-scale1.0titleiframe/title
/head
bodyiframe srchttp://www.bilibili.com width500 height500 frameborder0 allowfullscreen sandbox!-- 功能将其他网页嵌入到本网页 --!-- sandbox沙箱模式。 --pa hrefhttp://www.bilibili.com点击打开嵌入页面/a/p/iframe
/body
/html 2 sandbox属性 允许设置嵌入的网页的权限等同于提供了一个隔离层即“沙箱”。 【1】使用方法
[1] 可当布尔类型使用打开所有限制
iframe srchttps://www.example.com sandbox
/iframe
[2] 设置具体值表示打开某项限制未设置表示无此权限 原则最小权限原则 【2】例
!DOCTYPE html
html langen
headmeta charsetUTF-8meta nameviewport contentwidthdevice-width, initial-scale1.0titleiframe/title
/head
bodyiframe src./img.html width500 height500 frameborder0 allowfullscreen sandboxallow-modals allow-scripts!-- 功能将其他网页嵌入到本网页 --!-- sandbox沙箱模式。 --pa href./img.html点击打开嵌入页面/a/p/iframe
/body
/html 编码
1ASCII码 ASCII 码一共规定了128个字符的编码比如空格SPACE是32二进制00100000大写的字母A是65二进制01000001。这128个符号包括32个不能打印出来的控制符号只占用了一个字节的后面7位最前面的一位统一规定为0。 2unicode编码 一种所有符号的编码规模可以容纳100多万个符号 存在问题
如何区别 unicode 和 ASCII 码英文字母是一个字节别的字符 2-3 字节若规定用 3-4 个字节表示英文字母会存储浪费
结果1) 出现许多种不同的存储方式2) 无法推广
3UTF-8 UTF-8 就是在互联网上使用最广的一种 Unicode 的实现方式。其他实现方式还包括 UTF-16字符用两个字节或四个字节表示和 UTF-32字符用四个字节表示 1 特点
变长的编码方式使用 1-4 个字节表示一个符号根据不同符号变化字节长度
2 规则
对于单字节的符号字节的第一位设为0后面7位为这个符号的 Unicode 码。因此对于英语字母UTF-8 编码和 ASCII 码是相同的。对于n字节的符号n 1第一个字节的前n位都设为1第n 1位设为0后面字节的前两位一律设为10。剩下的没有提及的二进制位全部为这个符号的 Unicode 码
Unicode符号范围 | UTF-8编码方式
(十六进制) | 二进制
-------------------------------------------------------------------
0000 0000-0000 007F | 0xxxxxxx
0-127
0000 0080-0000 07FF | 110xxxxx 10xxxxxx
128-2047
0000 0800-0000 FFFF | 1110xxxx 10xxxxxx 10xxxxxx
2048-65535
0001 0000-0010 FFFF | 11110xxx 10xxxxxx 10xxxxxx 10xxxxxx
3 例
汉字中为例展现UTF-8编码
ord(中) --- 3个字节
20013
bin(20013)
0b 100 111000 1011011110 0100 10 111000 10 101101
1110 xxxx 10 xxxxxx 10 xxxxxxhex(0b11100100)
0xe4
hex(0b10111000)
0xb8
hex(0b10101101)
0xade4b8ad
4html实体编码
1 实体表示法 实体的写法是name;其中的name是字符对应的实体。 phello/p
!-- 等同于 --
十进制
p#104;#101;#108;#108;#111;/p
ord(h) - 114(在ascii表中h对应104这个数字)!-- 等同于 --
十六进制
p#x68;#x65;#x6c;#x6c;#x6f;/p
hex(104) - 68(x代表16进制,16进制下104 x68)
2 常用特殊字符
lt;gt;空格nbsp;
5urlcode编码
1 URL URL 是“统一资源定位符”Uniform Resource Locator表示各种资源的互联网地址。 出现位置url地址栏
URL 字符转义的方法是字符的十六进制 ASCII 码前面加上百分号%
【1】 网址的组成部分
https://www.example.com/path/index.html 协议常用http、https。ftp、telnet 对应端口 http -- 80 https -- 443 ftp -- 20 21 telnet -- 23 ssh -- 22 DNS -- 53 dhcp -- 67 68 smtp -- 25邮件协议 pop3 -- 110邮件协议 ladp -- 389域控制器 mysql -- 3306 sqlserver -- 1433C#语言用得多 oracle -- 1521 windows远程连接端口 -- 3389 redisnosql数据库 -- 6379 【2】状态码
request是代表Http请求信息的对象response对象是代表Http响应信息的对象返回含有状态码
2开头访问成功
200 OK请求成功服务器正常响应。3开头重定向较多用于登录
300 Multiple Choices客户端请求的资源有多个可供选择需要进一步确定。
301 Moved Permanently被请求的资源已永久移动到新的URL客户端应该使用新的URL发起请求。永久转移
302 Found被请求的资源已暂时移动到新的URL客户端应该继续使用原始URL。临时转移
303 See Other客户端应该使用另一个URL来获取资源。
304 Not Modified客户端的缓存资源仍然有效可以直接使用缓存的副本。
307 Temporary Redirect请求的资源暂时移动到其他URL客户端应该继续使用原始URL。与302基本一致
308 Permanent Redirect请求的资源永久移动到其他URL客户端应该使用新URL。4开头
400 Bad Request请求错误服务器无法理解或处理请求。
401 Unauthorized未授权需要进行身份验证或登录。
403 Forbidden禁止访问服务器拒绝请求。
404 Not Found资源未找到服务器无法找到请求的资源。5开头
500 Internal Server Error服务器内部错误无法完成请求。
2 编码表示英文字母不解析 !%21 #%23相当于注释 $%24 %26 %27 (%28 )%29 *%2A %2B ,%2C /%2F :%3A ;%3B %3D ?%3F %40 [%5B ]%5D 空格%20
例在url地址栏输入?id1 order by 3 -- url地址栏会将其解析为:?id1%27%20order%20by%203%20-- 附
ord() --- unicode编码hex() --- 16进制oct() --- 8进制int() --- 10进制bin() --- 二进制 img标签实现绕过
基本用法
img标签用于插入图片。它是单独使用的没有闭合标签。 img srcfoo.jpg
例
[1] img标签加载图片
!DOCTYPE html
html langen
headmeta charsetUTF-8meta nameviewport contentwidthdevice-width, initial-scale1.0titleimg/title
/head
bodyimg src1111 alt图片加载失败 width300px height300px onerroralert(1)!-- 加载失败触发onerror事件 --
/body
/html 图片加载出现错误
[2] php文件
?php
header(X-XSS-Protection:0);//通过php代码关闭浏览器的防御措施
$xss isset($_GET[xss])? $_GET[xss] : ;// 三元运算符
$xss str_replace(array((,),,\\,,,),,$xss);// replace函数替换()\\,全部替换为
// 过滤大小括号使其无法执行函数
// :防止使用html实体编码
// \:防止使用\uunicode编码
// :防止使用标签
echo img src\{$xss}\;//打印
?
1) 反引号实现绕过http:127.0.0.1/php/xss.php?xss1 οnerrοralert1 2) 过滤反引号后进行绕过
【1】实验将在urlcode编码中写为%28和%29。xss1 οnerrοralert%281%29 【2】实验在urlcode编码中%25为%。xss1 οnerrοralert%25281%2529
由于js中无法编码符号所以显示为直接输出过滤失败
【3】实验使用location。xss1 οnerrοrjavascript:alert%25281%2529 js中有个好用的特性location这个函数可以把右边所有的东西变为一个变量值对于变量而言js可以随意编码最终实现绕过。
a hrefjavascript:alert(1)/a
