安全地呈现不受信任文本中的超链接

Question

作为项目的一部分，我通过网络表单接受用户的文本并将其显示在网页上。他们提供的文本可能包含 URL，如果是这样，我想将其呈现为超链接以改善体验。例如，用户可能提交包含 http://www.google.com 的文本，我想将其转换为 ...

我想知道在执行此操作时应该注意哪些安全问题。我已经采取措施避免任何简单的 XSS 插入，因为我的 XML 库将转义任何特殊字符，但我想还有更复杂的攻击。

Answer 1

除了忽略 javascript: 之外，您可能应该只为 http: 协议创建超链接，因为某些应用程序可以通过其他协议启动或控制。我想到的是 Steam、Skype 和 AOL Messenger。

Answer 2

如果您仅使用 a 元素包围 URL，则唯一会出现的问题是它们输入恶意 URL（可能会被缩短）并且您最终单击它（前提是所有其他攻击方式都是安全的）在你的软件中（例如不能任意执行JavaScript等）。

确保在匹配 URL 时不考虑 javascript: 伪协议。这样不会有什么好的结果。