如何安全地將用戶提供的URL添加到我的HTML頁面？

Question

與任何用戶提供的數據一樣，這些URL需要進行轉義和適當過濾以避免各種漏洞利用。我希望能夠

• 放置用戶提供的網址，在href屬性。 （獎勵積分，如果，如果我忘了寫引號我沒有得到擰）

  <a href="ESCAPED_USER_URL_GOES_HERE">...</a> 
  

• 禁止惡意URL如javascript:東西或鏈接到邪惡的域名。

• 爲用戶提供一些迴旋餘地。我不想因爲忘記添加http://或類似的東西而引發錯誤。

不幸的是，我無法找到任何「規範」解決這類問題。我唯一能找到靈感的地方是來自Javascript的encodeURI函數，但這對我的第二點沒有幫助，因爲它只是做一個簡單的URL參數編碼，但只留下特殊字符，如:和/。

Answer 1

對於第一點，定期屬性編碼工作得很好。 （轉義字符轉換爲HTML實體，轉義引號，如果屬性保證爲引號，則和號和括號是可以的;轉義其他字母數字字符會使屬性安全，如果它的意外不加引號。你想做什麼。只記得用白名單的方式，而不是一個黑名單的一個其可以使用HTML實體編碼和其他技巧來解決最簡單的黑名單。

Answer 2

OWASP提供了一個regular expressions for validating user input的列表，其中一個用於驗證URL。這與您將要達到語言中立，規範的解決方案一樣緊密。

更有可能您會依賴正在使用的編程語言的URL解析庫。或者，使用URL parsing regex。

的工作流程是這樣的：

1. 驗證所提供的字符串是一個結構良好的URL。
2. 當沒有指定協議時，提供默認協議，如http:。
3. 保持可接受的協議的白名單（http:，https:，ftp:，mailto:等）
   1. 白名單將是應用特定的。對於地址簿應用程序，mailto:協議將是不可或缺的。很難想象javascript:和data:協議的用例。
4. 執行maximum URL length - 確保跨瀏覽器URL並防止攻擊者以兆字節長度的字符串污染頁面。幸運的是，你的URL解析庫會爲你做到這一點。
5. 編碼用法上下文的URL字符串。 （轉義爲HTML輸出，轉義以用於SQL查詢等）。

禁止惡意URL如javascript：東西或鏈接，或邪惡的域名。

可以利用Google Safe Browsing API檢查間諜軟件，垃圾郵件或其他「惡」的域。