最近朋友問我關于編碼和加密問題,下午有點時間就查了一些資料,總結一下與大家分享:
在用javascript對URL字符串進行編碼中,雖然escape()、encodeURI()、encodeURIComponent()三種方法都能對一些影響URL完整性的特殊字符進行過濾。但后兩者是將字符串轉換為UTF-8的方式來傳輸,解決了頁面編碼不一至導致的亂碼問題。例如:發送頁與接受頁的編碼格式(Charset)不一致(假設發送頁面是GB2312而接收頁面編碼是UTF-8),使用escape()轉換傳輸中文字串就會出現亂碼問題。
以下是JS下對URL進行編/解碼的各種方法:
1、escape 方法:返回一個可在所有計算機上讀取的編碼 String 對象。
function escape(charString : String) : String
不會被此方法編碼的字符: @ * / +
說明:escape 方法返回一個包含 charstring 內容的字符串值(Unicode 格式)。所有空格、標點、
重音符號以及任何其他非 ASCII 字符都用 %xx 編碼替換,其中 xx 等于表示該字符的十六進制數。
例如,空格返回為“%20”。(字符值大于 255 的字符以 %uxxxx 格式存儲。)
注意:escape 方法不能用來對“統一資源標識符”(URI) 進行編碼。對其編碼應使用 encodeURI 和encodeURIComponent 方法。
2、encodeURI 方法:返回編碼為有效的統一資源標識符 (URI) 的字符串。
function encodeURI(URIString : String) : String
不會被此方法編碼的字符:! @ # $ & * ( ) = : / ; ? + '
說明:encodeURI 方法返回一個已編碼的 URI。如果將編碼結果傳遞給 decodeURI,則將返回初始的字符串。encodeURI 不對下列字符進行編碼:“:”、“/”、“;”和“?”。請使用
encodeURIComponent 對這些字符進行編碼。
3、encodeURIComponent方法:返回編碼為統一資源標識符 (URI) 的有效組件的字符串。
function encodeURIComponent(encodedURIString : String) : String
不會被此方法編碼的字符:! * ( ) '
說明:encodeURIComponent 方法返回一個已編碼的 URI。如果將編碼結果傳遞給decodeURIComponent,則將返回初始的字符串。因為 encodeURIComponent 方法將對所有字符編碼,
請注意,如果該字符串代表一個路徑,例如 /folder1/folder2/
default.html,則其中的斜杠也將被編碼,這樣,當該字符串作為請求發送到 Web 服務器時它將是無效的。如果字符串中包含多個 URI 組件,請使用 encodeURI 方法進行編碼。
4、unescape方法:從用 escape 方法編碼的 String 對象中返回已解碼的字符串。
function unescape(charString : String) : String
說明:unescape 方法返回一個包含 charstring 內容的字符串值。所有以 %xx 十六進制形式編碼的
字符都用 ASCII 字符集當中等效的字符代替。(以 %uxxxx 格式(Unicode 字符)編碼的字符用十六
進制編碼 xxxx 的 Unicode 字符代替。)
注意:unescape 方法不應用于解碼“統一資源標識符”(URI)。請改用 decodeURI 和 decodeURIComponent 方法。
5、decodeURI 方法:返回一個已編碼的統一資源標識符 (URI) 的非編碼形式。
function decodeURI(URIstring : String) : String
decodeURIComponent 方法:返回統一資源標識符 (URI) 的一個已編碼組件的非編碼形式。
function decodeURIComponent(encodedURIString : String) : String
BTW:C#中對URL編碼的方法。。。
編碼:Server.UrlEncode(
string)
解碼:Server.UrlDecode(
string) 前面三種客戶端編碼都可以用這個方法在后臺解碼。
關于HttpUtility.UrlEncode,HttpUtility.UrlDecode,Server.UrlEncode,Server.UrlDecode
HttpUtility.UrlEncode 方法:
對 URL 字符串進行編碼,以便實現從 Web 服務器到客戶端的可靠的 HTTP 傳輸。
重載列表
將字節數組轉換為已編碼的 URL 字符串,以便實現從 Web 服務器到客戶端的可靠的 HTTP 傳輸。
[C#]
public static string UrlEncode(
byte[]);
對 URL 字符串進行編碼,以便實現從 Web 服務器到客戶端的可靠的 HTTP 傳輸。
[C#]
public static string UrlEncode(
string);
使用指定的編碼對象對 URL 字符串進行編碼,以便實現從 Web 服務器到客戶端的可靠 HTTP 傳輸。
[C#]
public static string UrlEncode(
string, Encoding);
從數組中的指定位置開始一直到指定的字節數為止,將字節數組轉換為 URL 編碼的字符串,以便實現從 Web 服務器到客戶端的可靠的 HTTP 傳輸。
[C#]
public static string UrlEncode(
byte[],
int,
int);
HttpUtility.UrlDecode 方法:
將已經為在 URL 中傳輸而編碼的字符串轉換為解碼的字符串。
重載列表
將已經為在 URL 中傳輸而編碼的字符串轉換為解碼的字符串。
[C#]
public static string UrlDecode(
string);
使用指定的解碼對象將 URL 編碼的字節數組轉換為已解碼的字符串。
[C#]
public static string UrlDecode(
byte[], Encoding);
使用指定的編碼對象將 URL 編碼的字符串轉換為已解碼的字符串。
[C#]
public static string UrlDecode(
string, Encoding);
使用指定的編碼對象,從數組中的指定位置開始到指定的字節數為止,將 URL 編碼的字節數組轉換為已解碼的字符串。
[C#]
public static string UrlDecode(
byte[],
int,
int, Encoding);
Server是HttpServerUtility類的實例,是System.Web.UI.Page的屬性。
HttpServerUtility.UrlEncode 方法:
編碼字符串,以便通過 URL 從 Web 服務器到客戶端進行可靠的 HTTP 傳輸。
重載列表
對字符串進行 URL 編碼,并返回已編碼的字符串。
[C#]
public string UrlEncode(
string);
URL 對字符串進行編碼,并將結果輸出發送到 TextWriter 輸出流。
[C#]
public void UrlEncode(
string, TextWriter);
例:
String TestString = "This is a <Test String>.";
StringWriter writer =
new StringWriter();
Server.UrlEncode(TestString, writer);
String EncodedString = writer.ToString();
HttpServerUtility.UrlDecode 方法:
對字符串進行解碼,該字符串為了進行 HTTP 傳輸而進行編碼并在 URL 中發送到服務器。
重載列表
對字符串進行 URL 解碼并返回已解碼的字符串。
[C#]
public string UrlDecode(
string);
對在 URL 中接收的 HTML 字符串進行解碼,并將結果輸出發送到 TextWriter 輸出流。
[C#]
public void UrlDecode(
string, TextWriter);
需要注意的幾點:
1、HttpUtility.UrlEncode,HttpUtility.UrlDecode是靜態方法,而Server.UrlEncode,Server.UrlDecode是實例方法。
2、Server是HttpServerUtility類的實例,是System.Web.UI.Page的屬性。
3、用HttpUtility.UrlEncode編碼后的字符串和用Server.UrlEncode進行編碼后的字符串對象不一樣:
例如:
string url="http://search.99read.com/index.aspx?book_search=all&main_str=奧迷爾";
Response.Write(HttpUtility.UrlEncode(url));
Response.Write("<br>");
Response.Write(Server.UrlEncode(url));
輸出結果是:
http%3a%2f%2fsearch.99read.com%2findex.aspx%3fbook_search%3dall%26main_str%3d%e5%a5%a5%e8%bf%b7%e5%b0%94
http%3a%2f%2fsearch.99read.com%2findex.aspx%3fbook_search%3dall%26main_str%3d%b0%c2%c3%d4%b6%fb
原因:Server.UrlEncode的編碼方式是按照本地程序設置的編碼方式進行編碼的,而HttpUtility.UrlEncode是默認的按照.net的utf-8格式進行編碼的。
如果改一下程序:
string url1="http://search.99read.com/index.aspx?book_search=all&main_str=奧迷爾";
Response.Write(HttpUtility.UrlEncode(url1,System.Text.Encoding.GetEncoding("GB2312")));
Response.Write("<br>");
Response.Write(Server.UrlEncode(url1));
輸出的結果是:
http%3a%2f%2fsearch.99read.com%2findex.aspx%3fbook_search%3dall%26main_str%3d%b0%c2%c3%d4%b6%fb
http%3a%2f%2fsearch.99read.com%2findex.aspx%3fbook_search%3dall%26main_str%3d%b0%c2%c3%d4%b6%fb
4、有時候可能別的系統傳遞過來的url是用別的編碼方式編碼的。
介紹自己編寫的一個方法,可以獲取指定編碼格式的QueryString。
public string GetNonNullQueryString(
string key,Encoding encoding)
{
//引用System.Collections.Specialized和System.Text命名空間
string stringValue;
System.Collections.Specialized.NameValueCollection encodingQueryString;
//該方法是在2.0中新增的
encodingQueryString = HttpUtility.ParseQueryString(Request.Url.Query,encoding);
//'里面的key就是你提交的參數的Key
return encodingQueryString[key] !=
null ? encodingQueryString[key].Trim() : "";
}
調用:
string url = GetNonNullQueryString("url",Encoding.UTF8).Trim();
在對URL進行編碼時,該用哪一個?這兩都使用上有什么區別嗎?
測試:
string file="文件上(傳)篇.doc";
string Server_UrlEncode=Server.UrlEncode(file);
string Server_UrlDecode=Server.UrlDecode(Server_UrlEncode);
string HttpUtility_UrlEncode=System.Web.HttpUtility.UrlEncode(file);
string HttpUtility_UrlDecode=System.Web.HttpUtility.UrlDecode(HttpUtility_UrlEncode);
Response.Write("原數據:"+file);
SFun.WriteLine("Server.UrlEncode:"+Server_UrlEncode);
SFun.WriteLine("Server.UrlDecode:"+Server_UrlDecode);
SFun.WriteLine("HttpUtility.UrlEncode:"+HttpUtility_UrlEncode);
SFun.WriteLine("HttpUtility.UrlDecode:"+HttpUtility_UrlDecode);
輸出:
原數據:文件上(傳)篇.doc
Server.UrlEncode:%ce%c4%bc%fe%c9%cf%a3%a8%b4%ab%a3%a9%c6%aa.doc
Server.UrlDecode:文件上(傳)篇.doc
HttpUtility.UrlEncode:%e6%96%87%e4%bb%b6%e4%b8%8a%ef%bc%88%e4%bc%a0%ef%bc%89%e7%af%87.doc
HttpUtility.UrlDecode:文件上(傳)篇.doc
區別在于:HttpUtility.UrlEncode()默認是以UTF8對URL進行編碼,而Server.UrlEncode()則以默認的編碼對URL進行編碼。
在用 ASP.Net 開發頁面的時候, 我們常常通過 System.Web.HttpUtility.UrlEncode 和 UrlDecode 在頁面間通過 URL 傳遞參數. 成對的使用 Encode 和 Decode 是沒有問題的.
但是, 我們在編寫文件下載的頁面的時候, 常常用如下方法來指定下載的文件的名稱:
Response.AddHeader("Content-Disposition","attachment; filename="
+ HttpUtility.UrlEncode(fileName, Encoding.UTF8));
之所以轉換成 UTF8 是為了支持中文文件名.
這 時候問題就來了, 因為 HttpUtility.UrlEncode 在 Encode 的時候, 將空格轉換成加號('+'), 在 Decode 的時候將加號轉為空格, 但是瀏覽器是不能理解加號為空格的, 所以如果文件名包含了空格, 在瀏覽器下載得到的文件, 空格就變成了加號.
一個解決辦法是, 在 HttpUtility 的 UrlEncode 之后, 將 "+" 替換成 "%20"( 如果原來是 "+" 則被轉換成 "%2b" ) , 如:
fileName = HttpUtility.UrlEncode(fileName, Encoding.UTF8);
fileName = fileName.Replace("+", "%20");
不明白微軟為什么要把空格轉換成加號而不是"%20". 記得 JDK 的 UrlEncoder 是將空格轉換成 "%20"的.
經檢查, 在 .Net 2.0 也是這樣.
有時候默認aspx是以utf-8為編碼的,你的程序默認編碼(<globalization requestEncoding="gb2312" responseEncoding="gb2312"/>),問題出現了,以前沒有問題的HttpUtility.UrlDecode在Page.Request回的值是亂碼這就是上面說的HttpUtility.UrlDecode默認以UTF8對URL進行編碼,這種情況下面只需將HttpUtility.UrlDecode改成Server.UrlEncode即可。
二.js加密解密
在做網頁時(其實是網頁木馬呵呵),最讓人煩惱的是自己辛辛苦苦寫出來的客戶端IE運行的javascript代碼常常被別人輕易的拷貝,實在讓自己的心里有點不是滋味,要知道自己寫點東西也挺累的
^*^
以加密下面的javascript代碼為例:
<SCRIPT LANGUAGE="javascript">
alert("《我愛一起》");
</SCRIPT>
一:最簡單的加密解密
大家對于javascript函數escape()和unescape()想必是比較了解啦(很多網頁加密在用它們),分別是編碼和解碼字符串,比如例子代碼用escape()函數加密后變為如下格式:
alert%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B
如何?還看的懂嗎?當然其中的ASCII字符"alert"并沒有被加密,如果愿意我們可以寫點javascript代碼重新把它加密如下:
%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B
呵呵!如何?這次是完全都加密了!
當然,這樣加密后的代碼是不能直接運行的,幸好還有eval(codeString)可用,這個函數的作用就是檢查javascript代碼并執行,必選項 codeString 參數是包含有效 javascript 代碼的字符串值,加上上面的解碼unescape(),加密后的結果如下:
<SCRIPT LANGUAGE="javascript">
var code=unescape("%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B");
eval(code)
</SCRIPT>
是不是很簡單?不要高興,解密也就同樣的簡單,解密代碼都擺給別人啦(unescape())!呵呵
二:轉義字符""的妙用
大家可能對轉義字符""不太熟悉,但對于javascript提供了一些特殊字符如:n (換行)、 r (回車)、' (單引號)等應該是有所了解的吧?其實""后面還可以跟八進制或十六進制的數字,如字符"a"則可以表示為:"141"或"x61"(注意是小寫字符"x"),至于雙字節字符如漢字"黑"則僅能用十六進制表示為"u9ED1"(注意是小寫字符"u"),其中字符"u"表示是雙字節字符,根據這個原理例子代碼則可以表示為:
八進制轉義字符串如下:
<SCRIPT LANGUAGE="javascript">
eval("1411541451621645042u9ED1u5BA2u9632u7EBF425173")
</SCRIPT>
十六進制轉義字符串如下:
<SCRIPT LANGUAGE="javascript">
eval("x61x6Cx65x72x74x28x22u9ED1u5BA2u9632u7EBFx22x29x3B")
</SCRIPT>
這次沒有了解碼函數,因為javascript執行時會自行轉換,同樣解碼也是很簡單如下:
<SCRIPT LANGUAGE="javascript">
alert("x61x6Cx65x72x74x28x22u9ED1u5BA2u9632u7EBFx22x29x3B")
</SCRIPT>
就會彈出對話框告訴你解密后的結果!
三:使用Microsoft出品的腳本編碼器Script Encoder來進行編碼
工具的使用就不多介紹啦!我是直接使用javascript調用控件Scripting.Encoder完成的編碼!代碼如下:
<SCRIPT LANGUAGE="javascript">
var Senc=
new ActiveXObject("Scripting.Encoder");
var code='<SCRIPT LANGUAGE="javascript">rnalert("《我愛一起》");rn</SCRIPT>';
var Encode=Senc.EncodeScriptFile(".htm",code,0,"");
alert(Encode);
</SCRIPT>
編碼后的結果如下:
<SCRIPT LANGUAGE="JScript.Encode">#@~^FgAAAA==@#@&ls DD`J黑客防線r#p@#@&FgMAAA==^#~@</SCRIPT>
夠難看懂得吧?但相應的解密工具早已出來,而且連解密網頁都有!因為其解密網頁代碼過多,我就不多說拉!給大家介紹一下我獨創的解密代碼,如下:
<SCRIPT LANGUAGE="JScript.Encode">
function decode()
alert(decode.toString());
</SCRIPT>
咋樣?夠簡單吧?它是原理是:編碼后的代碼運行前IE會先對其進行解碼,如果我們先把加密的代碼放入一個自定義函數如上面的decode()中,然后對自定義函數decode調用toString()方法,得到的將是解碼后的代碼!
如果你覺得這樣編碼得到的代碼LANGUAGE屬性是JScript.Encode,很容易讓人識破,那么還有一個幾乎不為人知的window對象的方法execScript(),其原形為:
window.execScript( sExpression, sLanguage )
參數:
sExpression: 必選項。字符串(String)。要被執行的代碼。
sLanguage : 必選項。字符串(String)。指定執行的代碼的語言。默認值為 Microsoft JScript
使用時,前面的"window"可以省略不寫!
利用它我們可以很好的運行編碼后的javascript代碼,如下:
<SCRIPT LANGUAGE="javascript">
execScript("#@~^FgAAAA==@#@&ls DD`J我愛一起r#p@#@&FgMAAA==^#~@","JScript.Encode")
</SCRIPT>
你可以利用方法二對其中的""號內的字符串再進行編碼,使得"JScript.Encode"以及編碼特征碼"#@~^"不出現,效果會更好!
四:任意添加NUL空字符(十六進制00H)
一次偶然的實驗,使我發現在HTML網頁中任意位置添加任意個數的"空字符",IE照樣會正常顯示其中的內容,并正常執行其中的javascript 代碼,而添加的"空字符"我們在用一般的編輯器查看時,會顯示形如空格或黑塊,使得原碼很難看懂,如用記事本查看則"空字符"會變成"空格",利用這個原理加密結果如下:(其中顯示的"空格"代表"空字符")
<S C RI P T L ANG U A G E =" J a v a S c r i p t ">
a l er t (" 我 愛 一 起") ;
< / SC R I P T>
如何?是不是顯得亂七八糟的?如果不知道方法的人很難想到要去掉里面的"空字符"(00H)的!
五:無用內容混亂以及換行空格TAB大法
在javascript代碼中我們可以加入大量的無用字符串或數字,以及無用代碼和注釋內容等等,使真正的有用代碼埋沒在其中,并把有用的代碼中能加入換行、空格、TAB的地方加入大量換行、空格、TAB,并可以把正常的字符串用""來進行換行,這樣就會使得代碼難以看懂!如我加密后的形式如下:
<SCRIPT LANGUAGE="javascript">
"xajgxsadffgds";1234567890
625623216;var $=0;alert
//@$%%&*()(&(^%^
//cctv function//
(
//hhsaasajx xc
/*
asjgdsgu*/"我愛一起"
//ashjgfgf
/*
@#%$^&%$96667r45fggbhytjty
*///window
)
;"#@$#%@#432hu";212351436
</SCRIPT>
至少如果我看到這樣的代碼是不會有心思去分析它的,你哪?
六:自寫解密函數法
這個方法和一、二差不多,只不過是自己寫個函數對代碼進行解密,很多VBS病毒使用這種方法對自身進行加密,來防止特征碼掃描!下面是我寫的一個簡單的加密解密函數,加密代碼如下(詳細參照文件"加密.htm"):
<SCRIPT LANGUAGE="javascript">
function compile(code)
{
var c=String.fromCharCode(code.charCodeAt(0)+code.length);
for(var i=1;i<code.length;i++)
alert(escape(c));
}
compile('alert("《我愛一起》");')
</SCRIPT>
運行得到加密結果為:
o%CD%D1%D7%E6%9CJ%u9EF3%uFA73%uF1D4%u14F1%u7EE1Kd
相應的加密后解密的代碼如下:
<SCRIPT LANGUAGE="javascript">
function uncompile(code)
{
code=unescape(code);
var c=String.fromCharCode(code.charCodeAt(0)-code.length);
for(var i=1;i<code.length;i++)
return c;
}
eval(uncompile("o%CD%D1%D7%E6%9CJ%u9EF3%uFA73%uF1D4%u14F1%u7EE1Kd"));
</SCRIPT>
七:錯誤的利用
利用try{}
catch(e){}結構對代碼進行測試解密,雖然這個想法很好(呵呵,夸夸自己),因為實用性不大,我僅給個例子
<SCRIPT LANGUAGE="javascript">
var a='alert("《我愛一起》");';
var c="";
for(var i=0;i<a.length;i++)
alert(c);
//上面的是加密代碼,當然如果真正使用這個方法時,不會把加密寫上的
//現在變量c就是加密后的代碼
//下面的函數t()先假設初始密碼為0,解密執行,
//遇到錯誤則把密碼加1,然后接著解密執行,直到正確運行
var d=c;
//保存加密后的代碼
var b=0;
//假定初始密碼為0
t();
function t()
catch(e){
c="";
for(var i=0;i<d.length;i++)
b+=1;
t();
//setTimeout("t()",0);
}
}
</SCRIPT>
三。實現Server.UrlEncode和Server.UrlDecode的js代碼
var EncodeURI = function(unzipStr,isCusEncode){
if(isCusEncode){
var zipArray =
new Array();
var zipstr = "";
var lens =
new Array();
for(var i=0;i<unzipStr.length;i++){
var ac = unzipStr.charCodeAt(i);
zipstr += ac;
lens = lens.concat(ac.toString().length);
}
zipArray = zipArray.concat(zipstr);
zipArray = zipArray.concat(lens.join("O"));
return zipArray.join("N");
}
else{
//return encodeURI(unzipStr);
var zipstr="";
var strSpecial="!\"#$%&'()*+,/:;<=>?[]^`{|}~%";
var tt= "";
for(var i=0;i<unzipStr.length;i++){
var chr = unzipStr.charAt(i);
var c=StringToAscii(chr);
tt += chr+":"+c+"n";
if(parseInt("0x"+c) > 0x7f){
zipstr+=encodeURI(unzipStr.substr(i,1));
}
else{
if(chr==" ")
zipstr+="+";
else if(strSpecial.indexOf(chr)!=-1)
zipstr+="%"+c.toString(16);
else zipstr+=chr;
}
}
return zipstr;
}
}
var DecodeURI = function(zipStr,isCusEncode){
if(isCusEncode){
var zipArray = zipStr.split("N");
var zipSrcStr = zipArray[0];
var zipLens;
if(zipArray[1]){
zipLens = zipArray[1].split("O");
}
else{
zipLens.length = 0;
}
var uzipStr = "";
for(var j=0;j<zipLens.length;j++){
var charLen = parseInt(zipLens[j]);
uzipStr+= String.fromCharCode(zipSrcStr.substr(0,charLen));
zipSrcStr = zipSrcStr.slice(charLen,zipSrcStr.length);
}
return uzipStr;
}
else{
//return decodeURI(zipStr);
var uzipStr="";
for(var i=0;i<zipStr.length;i++){
var chr = zipStr.charAt(i);
if(chr == "+"){
uzipStr+=" ";
}
else if(chr=="%"){
var asc = zipStr.substring(i+1,i+3);
if(parseInt("0x"+asc)>0x7f){
uzipStr+=decodeURI("%"+asc.toString()+zipStr.substring(i+3,i+9).toString()); ;
i+=8;
}
else{
uzipStr+=AsciiToString(parseInt("0x"+asc));
i+=2;
}
}
else{
uzipStr+= chr;
}
}
return uzipStr;
}
}
var StringToAscii = function(str){
return str.charCodeAt(0).toString(16);
}
var AsciiToString = function(asccode){
return String.fromCharCode(asccode);
}