2
如果我允許用戶發佈URL到一個頁面,那麼我創建一個帶有該URL的<a>
標籤,我必須首先檢查它是否安全。XSS預防的URI協議白名單?
我知道javascript:
協議是不安全的,因爲它會從用戶的URL運行代碼。
我知道http:
和https:
協議是可以的。
我也知道有更多的協議,如ftp:
,那麼,有沒有可以複製的白名單?
如果我允許用戶發佈URL到一個頁面,那麼我創建一個帶有該URL的<a>
標籤,我必須首先檢查它是否安全。XSS預防的URI協議白名單?
我知道javascript:
協議是不安全的,因爲它會從用戶的URL運行代碼。
我知道http:
和https:
協議是可以的。
我也知道有更多的協議,如ftp:
,那麼,有沒有可以複製的白名單?
HTML規範有whitelist of schemes for registerProtocolHandler()
這可能是一個起點。