HTML的标签都是节点,而这些节点组成了DOM的整体结构—节点树。
DOM的规定如下:整个文档是一个文档节点;每个HTML标签是一个元素节点;包含在HTML元素中的文本是文本节点;每一个HTML属性是一个属性节点;注释是注释节点;节点与节点之间都有等级关系。
通过HTML DOM,树种所有的节点均可通过JavaScript代码进行访问。所有HTML元素(节点)均可被修改,也可以创建或删除节点。在网站页面中有许多元素,当页面到达浏览器时,浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象。每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑,从而修改页面的元素。客户端的脚本程序可以通过DOM动态修改页面内容,从客户端获取DOM中的数据并在本地执行。由于DOM是在客户端修改节点的,所以基于DOM型XSS漏洞不需要与服务器交互。
%3C%253E /u0025/u0033/u0043 /u0026/u006c/u0074/u003b 这些字符分别对应url编码 url二次编码 url编码的unicode以及unicode编码,发现的话要小心XSS漏洞。