我正在開發一個應用程序,允許用戶輸入任意網址,該網址將包含在<a href="ARBITRARY URL">
和<img src="ARBITRARY URL" />
標籤中。通過<img>或<a>標籤加載可執行代碼?
我在看什麼類型的安全風險?
該應用程序使用PHP編碼,目前唯一的安全對策是使用PHP的htmlentities()函數針對輸入URL,然後將其作爲HTML發送。我也在檢查以確保URL文本以http://
或https://
開頭,但我不知道這是否完成任何事情,安全明智。
我還應該做些什麼來確保最終用戶的安全?
謝謝,我使用CodeIgniter框架,它有一個xss_clean()函數。我在通過xss_clean()傳遞它們之後嘗試了大約一半的示例,並用字符串「[removed]」替換了所有易受攻擊的文本。 – Dolph 2009-11-09 22:15:43