我正在开发一款允许人们输入任意 URL 的应用程序,这些 URL 将包含在 <a href="ARBITRARY URL">
中。和 <img src="ARBITRARY URL" />
标签。
我正在关注什么类型的安全风险?
该应用程序是用 PHP 编码的,我目前执行的唯一安全对策是使用 PHP 的 htmlentities()在将其作为 HTML 发送之前针对输入 URL 运行。我还在检查以确保 URL 文本以 http://
开头。或 https://
但我不知道这是否在安全方面有所作为。
我还应该做些什么来确保最终用户的安全?
最佳答案
看看 XSS Checklist .
关于php - 通过 <img> 或 <a> 标签加载可执行代码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1704107/