【早阅】编码差异：为什么字符集很重要

作者：@Stefan Schiller
原文：https://thenewstack.io/encoding-differentials-why-charset-matters/

背景

关于 HTTP 响应中的字符编码（charset）的问题引起了广泛关注。具体来说，一个常见的 HTTP 响应示例中， Content-Type 头缺少了 charset 属性，这可能导致跨站脚本（XSS）漏洞。

可能存在跨站脚本的漏洞风险，如下：

 HTTP/1.1 200 OK
 Server: Some Server
 Content-Type: text/html
 Content-Length: 1337

 DOCTYPE html>
 <html>
 <head><title>Some Pagetitle>head>
 <body>
 …

有一个小瑕疵：头部缺少 charset 属性。charset 是一组计算机可以用来表示文本的字符集。这听起来可能不是大问题，但攻击者可以轻易利用这一点，通过有意改变浏览器假设的字符集来注入任意的 JavaScript 代码到网站中。

要点

Content-Type 头中的 charset 属性缺失或不正确，可能导致浏览器在解析 HTML 文档时使用错误的字符编码，从而为攻击者提供注入恶意 JavaScript 代码的机会。

【第3335期】XSS终结者-CSP理论与实践

分析

字符编码的重要性

• 字符编码（如 UTF-8、ISO-8859-1 等）定义了字符与字节之间的映射关系。浏览器需要知道服务器使用的字符编码，以便正确解码 HTTP 响应体中的字节。

• 如果 Content-Type 头中缺少 charset 属性，浏览器可能会尝试自动检测字符编码，但这可能会导致错误的编码选择。

浏览器的行为

• 当 Content-Type 头中没有 charset 属性时，浏览器会尝试从 HTML 文档中的 标签或字节顺序标记（BOM）中获取字符编码信息。