"http：//"または "https：//"を指定すると、ユーザー入力リンクでの攻撃の危険性が排除されますか？

Question

私は他のユーザーが見ることができる私のウェブアプリでリンクを作ることを許可したいと思います。私はそれらがどんなjavascriptやxssや何かを実行できるようにしたくありません。シンプルな「http：//」は最初にこれらの問題を解消していますか？つまり、hrefが「http：//」で始まる場合、ユーザーがあまり気にせずにクリックできるようにすることはできますか？

Answer 1

投稿したリンクでhtmlタグや引用符をエスケープしている限り、問題はありません。 明らかに、サイトにhttp://example.com/?x=<script>...</script>などの反射されたxssが含まれていて、そのようなリンクが投稿された場​​合、リダイレクトされたページがxssに脆弱である場合、xssを避けることはできません。