Безопасно ли разрешить тег привязки в редакторе HTML?

Question

Я разрешаю HTML внутри одной из текстовых областей в моем приложении и сейчас собираюсь заблокировать определенные элементы и атрибуты HTML, как при проверке на стороне клиента, так и на стороне сервера.

Мне было интересно, будет ли эторазумно разрешить привязку тега <a>.Мне действительно нужно, чтобы мои пользователи могли набирать якоря.Тем не менее, я размышляю над тем, что все злоупотребления, которые плохой парень может сделать с тегом привязки.

Вот что я придумал.

1. Внешний сценарий может бытьвыполнен с использованием этого.Для .eg

   Gotchya!

   Пустой текст

Конечно, я мог бы уменьшить # 2, убедившись, что все правильноограниченный, но я просто беспокоюсь из-за хорошей привычки пытаться думать обо всех злых вещах, которые могут произойти, чтобы я мог включить их в свой код / ​​дизайн.

Есть ли другой способ, которым кто-то может неправильно использовать якорьтег?

Answer 1

Да, можно разрешить тег внутри вашего приложения. Чтобы конкретно ответить на ваш вопрос, вы рассмотрели большую его часть, но кто-то где-то пытается найти что-то новое.

Чтобы обойти это, используя новейшие библиотеки фильтрации, вы уменьшите атаки xss link

После того, как ввод отформатирован правильно (исключая ненадежные данные), запустите его через анализатор HTML. Это удаляет все, что не входит в существующий белый список.

Вам не нужно писать свои собственные, и многие из них уже существуют ссылка , другие доступны.

P.S. рекомендуется выполнять фильтрацию на стороне сервера, а не на стороне клиента. ссылка