Web安全基础

1、HTML基础

什么是 HTML

HTML 是用来描述网页的一种语言。

HTML 指的是超文本标记语言 (Hyper Text Markup Language) HTML 不是一种编程语言,而是一种标记语言 (Markup language) 标记语言是一套标记标签 (Markup tag)

HTML 使用标记标签来描述网页

总的来说,HTML 本身不具有编程逻辑,它是一种将格式与内容分离编排的语言。 用户在浏览器端解析的网页大都是由 HTML 语言组成。

由于是通过浏览器动态解析,因此可以使用普通文本编辑器来编写 HTML。

2、HTML中的标签与元素

标签和元素共同构成了 HTML 多样的格式和丰富的功能。

HTML 元素以开始标签起始,以结束标签终止。元素处于开始标签与结束标签之 间,标签之间可以嵌套,一个典型的 HTML 文档如下:

html 复制代码
<html>
<!-- html文档申明标签 -->
    <body>
    <!-- html文档主体 -->
        Hello World
    <!-- 注释 -->
    </body>
</html>

3、信息隐藏

HTML中的部分标签用于元信息展示、注释等功能,并不用于内容的显示。另一方面,一些属性具有修改浏览器显示样式的功能,在CTF中常被用来进行信息隐藏。

html 复制代码
标签
<!--...-->,定义注释
<!DOCTYPE>,定义文档类型
<head>,定义关于文档的信息
<meta>,定义关于HTML文档的元信息 <iframe>,定义内联框架
属性
hidden,隐藏元素

4、XSS

关于 XSS 漏洞的详细介绍见 1.4.5 节的 OWASP Top Ten Project 漏洞基础。导致 XSS 漏洞的原因是嵌入在 HTML 中的其它动态语言,但是 HTML 为恶意注入提供 了输入口。

常见与 XSS 相关的标签或属性如下:

html 复制代码
<script>,定义客户端脚本
<img src=>,规定显示图像的 URL
<body background=>,规定文档背景图像URL
<body onload=>,body标签的事件属性
<input onfocus= autofocus>,form表单的事件属性
<button onclick=>,击键的事件属性
<link href=>,定义外部资源链接
<object data=>,定义引用对象数据的 URL
<svg onload=>,定义SVG资源引用

5、HTML编码

HTML 编码是一种用于表示问题字符已将其安全并入 HTML 文档的方案。HTML 定

义了大量 HTML 实体来表示特殊的字符。

|--------|------|
| HTML编码 | 特殊字符 |
| &quot | " |
| &apos | ' |
| &amp | & |
| &lt | < |
| &gt | > |

此外,任何字符都可以使用它的十进制或十六进制的ASCII码进行HTML编码,例

如:

|--------|------|
| HTML编码 | 特殊字符 |
| &#34 | " |
| &#39 | ' |
| &#x22 | " |
| &#x27 | ' |

6、HTML5新特性

其实 HTML5 已经不新了,之所以还会在这里提到 HTML5,是因为更强大的功能会 带来更多意想不到的问题。

HTML5 的一些新特性:

新的语义元素标签

新的表单控件

强大的图像支持

强大的多媒体支持

强大的 API

7、参考资料

HTML 教程

HTML5 Security Cheatsheet

相关推荐
不会C语言的男孩1 小时前
TCP通信可视化工具,含下载地址
服务器·网络·安全
遇码3 小时前
开源 Data Agent 实战:用 Lakemind + DuckDB 让 LLM 安全分析本地数据
安全·开源
Chengbei113 小时前
VMware Workstation Pro 26H1免费虚拟化利器
运维·安全·web安全·自动化·系统安全·apache·安全架构
AI创界者4 小时前
打造内网安全防线:使用 Kali Linux 进行企业级漏洞风险自查与防御指南
linux·运维·安全
YOLO数据集集合12 小时前
吊装作业的“电子围栏”:YOLOV13如何用AI框住塔吊下的致命风险
人工智能·安全·yolo·目标检测
@insist12313 小时前
系统规划与管理师-信息安全规划核心考点解析:概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
IT小白杨14 小时前
从移动指纹到App隔离:TikTok Shop跨境电商账号安全管理实战
安全·新媒体运营·业界资讯·指纹浏览器
humors22114 小时前
【分享】火绒恶意网址自定义规则,根据互联网应急中心部分威胁预警恶意代码制作
网络·安全·规则·火绒安全·恶意网址·应急中心
工程管理笔记15 小时前
工程发票与资金管理系统:蓝燕云进销项发票台账功能
安全
爱折腾的小黑牛18 小时前
礼账小程序的数据安全方案:加密与备份
数据库·安全