将输入的字符串验证为URLs是否值得为了安全性而这么做?
将输入的字符串验证为URLs是否值得为了安全性而这么做?
提问于 2012-06-10 01:53:24
在我正在编写的一个web应用程序中,我让登录的访问者有机会输入一个URL,以便与他们上传的图片一起使用,作为返回到他们网站的链接。
我打算验证输入的字符串以确保它是一个URL,但在仔细考虑了解决方案的复杂性后,我认为可能没有必要这样做。
但是,如果不这样做,是否有可能会遗漏任何安全隐患?(我考虑的情况是,有效的URL可能包含一些恶意脚本或类似的脚本。)
Stack Overflow用户
发布于 2012-06-11 19:28:55
URL的安全问题与其有效性关系不大(尽管进行基本检查以捕获错误是很好的,而且您自然需要使用与一般数据相同的输入验证和输出转义代码);它更多地与危险的URL方案有关。
最值得注意的是,javascript: URL根本不是真正的位置,而是注入到链接它们的页面中的脚本内容,从而导致跨站点脚本漏洞。还有其他具有类似问题的计划。最好是只允许已知良好的方案,例如,通过检查字符串是否以http://或https://开头。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/10963242
复制相关文章
相似问题
腾讯云开发者
