xss bypass html인코딩

퍼센트 인코딩, uri 인코딩 이외에 html 인코딩도 있다.

xss에서 src 필드 같은데에 사용되는데 예를들어 소괄호 '(' 는 html entity로 &#x28이다. x28은 16진수이므로 &#40과 똑같다.

 

아래 링크에 특수문자를 자세히 정리한 글이 있다.

https://johngrib.github.io/wiki/special-chars/

특수문자 모음