Разрешить пользователям публиковать схемы URL, отличные от http / https?

Question

У меня есть раздел комментариев в блоге, где пользователи пишут свой веб-сайт и комментируют его, и он отображается так:

<a href="https://example.com">Website</a>
<br>
<span>my website is about...</span>
<br><br>
<a href="https://example2.com">Website2</a>
<br>
<span>my website2 is about...</span>

, и я разрешаю только http / https схемы URL.

Некоторые из моих пользователей сказали мне, что они хотят написать веб-сайт или соединение, используя схемы URL, такие как ftp:// - mailto: - file: - info::

<a href="ftp://example.com">Website</a>
<br>
<span>my website is about transfering to you</span>
<br><br>
<a href="file:example2.com/file.xml">Website2</a>
<br>
<span>my website2 is about sharing a file link to download</span>
<br><br>
<a href="mailto:name@example3.com">Website2</a>
<br>
<span>my website3 is to send me email for medical conditions</span>

Безопасно ли это для зрителя, или это ставит под угрозу их конфиденциальность или безопасность? неожиданно

Answer 1

Это плохая идея. Имейте в виду, что подавляющее большинство сайтов, предлагающих такую ​​функциональность (например, комментарии Wordpress), сразу же переполняются ссылками на вредоносные программы. Если HTTP уже достаточно плох, разрешение других схем расширяет возможности, доступные злоумышленникам, для прямых атак на посетителей вашего сайта или для использования вас в качестве прокси-вектора. Если у них действительно есть сайт, который нуждается в схемах, отличных от HTTP, они должны ссылаться на свой собственный сайт и использовать любые ссылки, которые им нужны, а не передавать вам ответственность.