作为项目的一部分,我通过Web表单接受用户的文本并将其显示在网页上.他们提供的文本可能包含URL,如果是这样,我想将其渲染为超链接以改善体验.例如,用户可能会提交包含的文本http://www.google.com,我想将其转换为<a href="http://www.google.com">...
我想知道在这样做时我应该注意哪些安全问题.我已经采取措施避免任何简单的XSS插入,因为我的XML库将逃避任何特殊字符,但我想有更复杂的攻击.
除了忽略 javascript: 之外,您可能应该只为 http: 协议创建超链接,因为某些应用程序可以通过其他协议启动或控制。我想到的是 Steam、Skype 和 AOL Messenger。