私は他のユーザーが見ることができる私のウェブアプリでリンクを作ることを許可したいと思います。私はそれらがどんなjavascriptやxssや何かを実行できるようにしたくありません。シンプルな「http://」は最初にこれらの問題を解消していますか?つまり、hrefが「http://」で始まる場合、ユーザーがあまり気にせずにクリックできるようにすることはできますか?"http://"または "https://"を指定すると、ユーザー入力リンクでの攻撃の危険性が排除されますか?
0
A
答えて
2
投稿したリンクでhtmlタグや引用符をエスケープしている限り、問題はありません。 明らかに、サイトにhttp://example.com/?x=<script>...</script>
などの反射されたxssが含まれていて、そのようなリンクが投稿された場合、リダイレクトされたページがxssに脆弱である場合、xssを避けることはできません。
+0
ああ、ありがとうございました。 –
関連する問題
- 1. HTTPS攻撃とMITM攻撃
- 2. ローカルサブルーチンコール時にパッケージ名を指定する危険性はありますか?
- 3. 危険なテキストを評価するのは危険ですか?
- 4. セッションハイジャックまたは攻撃?
- 5. ユーザーがコードサンプルを入力できるようにする最も危険な方法は何ですか?
- 6. `.git`ディレクトリをビルドにリンクすると危険がありますか?
- 7. リモートデバッグの危険性はどれですか?
- 8. XSS攻撃 - サニタイズ入力vs拒否
- 9. HTML/Javascriptページでフォームの外/非入力フィールドを使用すると危険がありますか?
- 10. 手動でDjangoでcleaned_dataを設定すると危険がありますか?
- 11. マルチスレッドアプリケーションでシングルトンを使用する危険性は何ですか?
- 12. オープンソースサービスは危険ですか?
- 13. instanceofは危険ですか?
- 14. 指定されたURIスキーム「http」は無効です。期待「HTTPS」
- 15. 潜在的に危険なユーザー入力を隠し入力フィールドからDOMに転送する
- 16. メソッドを仮想化する危険性は何ですか?
- 17. "。"で始まるUnixコマンドのエイリアスの潜在的危険性?
- 18. node.jsで書かれた私のhttpサーバ上のDOS攻撃を防ぐには?
- 19. パイプラインの一般的なパイプラインの危険性は何ですか?
- 20. ユーザーに自分のセッションIDを公開することは危険ですか?
- 21. Swift:UIcollectionViewのhttpリンクにセルまたはラベルを指定する
- 22. ClientBaseとhttps接続。指定されたURIスキーム「https」は無効です。期待される 'http'。パラメータ名:via
- 23. XSSを危険にさらすことなく、ユーザーが提供した<iframe>を許可しますか?
- 24. 中間攻撃者 - 対称キーを使用すると、そのような攻撃が発生する可能性がありますか?
- 25. MVC 5のセッション固定攻撃はまだ問題です
- 26. JavaでMetroを使用する際に危険性はありませんか
- 27. JavaScriptネームスペースの使用に関連する危険性はありますか?
- 28. オープンソースのWebフレームワークは危険ですか?
- 29. DelphiのExit文は危険ですか?
- 30. 私のHTMLフォームは危険ですか?
もしそれが簡単なら... httpリンクも悪意のあるjavascriptを含む可能性があります –