Безопасное отображение гиперссылок в ненадежном тексте

Question

В рамках проекта я принимаю текст от пользователя через веб-форму и отображаю его на веб-странице.Текст, который они предоставляют, может содержать URL-адреса, если это так, я бы хотел сделать его гиперссылкой для повышения удобства работы.Например, пользователь может отправить текст, содержащий http://www.google.com, и я хочу преобразовать его в <a href="http://www.google.com">...

. Мне интересно, какие проблемы с безопасностью я должен знать при этом.Я уже принял меры, чтобы избежать любых простых вставок XSS, потому что моя библиотека XML будет экранировать любые специальные символы, но я думаю, что есть более сложные атаки.

Answer 1

В дополнение к игнорированию javascript: вам, вероятно, следует создавать гиперссылки только для протокола http: потому что существуют определенные приложения, которые можно запускать или управлять другими протоколами.Вспоминаются Steam, Skype и AOL Messenger.

Answer 2

Если вы только окружаете URL-адреса элементами a, единственная проблема, которая должна возникнуть, если они вводят вредоносный URL-адрес (он может быть сокращен) и вы в конечном итоге нажимаете его, при условии, что все другие средства атаки безопасны в вашем программное обеспечение (например, не может выполнять произвольно JavaScript и т. д.).

Убедитесь, что вы не учитываете псевдопротокол javascript: при сопоставлении URL-адресов. Ничего хорошего из этого не получится.