【HTML】HTML自解码机制

0x01 HTML形式的编码

• 进制编码

&#xH;(十六进制格式)、&#D;（十进制形式）、最后的分号（;）可以不要

• HTML实体编码

0x02 自解码机制

当用户的输入出现在HTML标签内，js执行之前会进行自解码

例如

<input type="button" id="btn" value="exec" onclick="document.write('&lt;script&gt;alert(1)&lt;/script&gt;')" />

这段代码在执行的过程中，会将html实体编码自解码为之前的符号，因此这段代码会执行alert(1)的弹窗