面向web的数据编码

Base-16	0-9 a-f(不区分大小写）
Base-8	0-7
Base-36	0-9 a-z(不区分大小写）
Base-64	0-9 a-z A-Z + / 如果输入数据编码不是4字节的整数倍，就会在末尾添加1个或等个=以补全4的倍数 Base-64编码不包含压缩，编码后的数据比未编码的输入长。例如数据库存储的原始数据更改为存储Base-64编码，对长度限制会不一样
URL编码	<TrickyData> %3cTrickyData%3e 冗余编码是攻击者用来掩饰其恶意输入的一种方式
HTML实体数据	实体编码的变种：命名实体；十进制值；十六进制值；十六进制值（长整数）；十六进制值（64位整数） 网页浏览器；web服务器；应用软件；运行代码的平台（如java web或.net）都会编码或解码一部分数据流
散列值	OpenSSl CAL9000 Perl md5散列值生成正好128位的数据，有以下几种表示方式： 1）32个十六进制字符 2)24个Base-64字符 SHA-1生成160位的数据 1）40个十六进制 2）28个base-64字符 如果截获和重放散列值被认为是真实的，那么攻击者就无需知道明文信息
时间格式	时间被用在会话ID，临时文件名，临时密码及账号中，使用时钟来产生随机性的效果非常差
解码ASP.NET的视图状态	ViewState Decoder ASP.NET 提供了一种机制，客户端可以存储状态，即使相对较大的状态对象也可以作为表单域发送，并由网页浏览器在每次请求中回发，这种称为视图状态，存储在表单名为_VIEWSTATE的输入中 s搜索<input type="hidden" name="_VIEWSTATE"...>复制这个输入的取值并黏贴到解码器 在服务器处理视图状态时，会将视图状态中的某些数据插入到后续页面的url或html中吗？ 视图状态是否受保护不会被篡改？ 存在盲目地依赖于视图状态中的取值的程序逻辑吗？
解码多重编码	辨别数据 编码