XSS中的应用：这种编码的形式可以用来去绕过一些过滤，比如，有些会过滤掉script ，alert,< >这样的危险的符号，这个时候，就可以用Html编码来绕开过滤

比如这里的输出点在scr里，可以闭合双引号，然后写一个onerror事件，将alert(1)进行html十进制编码，这样就避开了输入的过滤，当数据到达输出点时，页面会先解码，这个时候onerror后面就变成了字符串alert(1),但是当图片资源加载失败，触发onerror这个事件时，这个时候这个字符串alert(1),就会当作js代码执行，就会弹窗。我这里用的html的十进制编码，用十六进制也是一样的效果

二：js编码

document.getElementById().innerHTML=search;

Js解码是用的xss encode插件

背景：http协议中传输参数是key=value这种键值对的形式存在的，如果需要传多个参数，就需要用&进行分割，如name1=value1&name=value2&name3=value3这种形式，如果这个时候，我们的值里包含了&或者=这样的符号，比如name1=value1,其中，value1的值是aaa&b=cc,那么输出的时候就会变成这样：name1=aaa&b=cc,这本来是一个键值对，但是服务器会解析成两个，会造成歧义，为了避免这种情况，对参数进行了url编码。&：%26，=：%3D，编码后就变成了name1=aaa%26b%3Dcc，这样服务器解析时，就还是一个键值对，然后进行Url解码，就会获取到正确的值了。

用url编码将&编码成%26，再输出点浏览器会将html编码解码回：，然后输出在href里，就可以成功弹窗

也可以用在线编码工具：http://tool.chinaz.com/tools/urlencode.aspx

base64一般用在a标签和iframe标签中，

</a> <iframe src="输出点" frameborder="0"></iframe>，

<a href="data:text/html;base64, PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg==">test</a>

当点击链接时，页面就会以html的方式解析，用base64的方法解码，然后成功结果弹窗。

注：文章转自互联网