2
如果我允許用戶發佈URL到一個頁面,那麼我創建一個帶有該URL的<a>標籤,我必須首先檢查它是否安全。XSS預防的URI協議白名單?
我知道javascript:協議是不安全的,因爲它會從用戶的URL運行代碼。
我知道http:和https:協議是可以的。
我也知道有更多的協議,如ftp:,那麼,有沒有可以複製的白名單?
A
回答
0
HTML規範有whitelist of schemes for registerProtocolHandler()這可能是一個起點。
相關問題
- 1. PHP XSS預防白名單
- 2. Javascript XSS預防
- 3. XSS預防PHP
- 4. XSS預防playframework1.2.4
- 5. Magento Xss預防
- 6. C#uri協議
- 7. Struts XSS預防 - 防止GET XSS
- 8. xss預防與ckeditor
- 9. 白名單,防止在C#中使用WMD控制XSS
- 10. Ruby on Rails和XSS預防
- 11. URI是否包含協議?
- 12. 笨和其URI協議
- 13. 避免XSS漏洞 - 白名單?
- 14. FFmpeg:協議不在白名單'文件'上!
- 15. 開源的XSS預防腳本
- 16. 以正確的方式預防XSS
- 17. 預防XSS攻擊的新方法
- 18. URI中有協議名稱的標準嗎?
- 19. ESAPI for XSS預防不起作用
- 20. Apache Commons StringEscapeUtils vs JSoup XSS預防?
- 21. 爲何XSS預防不足ValidateRequest =「true」?
- 22. 使用.htaccess預防XSS攻擊
- 23. outputStream寫一個byteArray - XSS預防
- 24. XSS預防,整潔vs淨化器?
- 25. GWT干擾XSS預防措施
- 26. amqp qpid 1.0協議uri格式
- 27. QtWebKit QWebView&Data-URI協議 - 不支持?
- 28. 防病毒白名單的痛苦
- 29. 爲基於白名單的(X)HTML編寫XSS過濾器
- 30. 協議的哈希協議