【问题标题】:Allow users to post url schemes other than http/https?允许用户发布 http/https 以外的 url 方案?
【发布时间】:2020-08-09 22:53:40
【问题描述】:

我有一个博客评论部分,用户可以在其中写下他们的网站并发表评论,显示如下:

<a href="https://example.com">Website</a>
<br>
<span>my website is about...</span>
<br><br>
<a href="https://example2.com">Website2</a>
<br>
<span>my website2 is about...</span>

我只允许 http/https URL 方案。

我的一些用户告诉我他们想使用像 ftp:// - mailto: - file: - info: 这样的 URL 方案编写网站或连接:

<a href="ftp://example.com">Website</a>
<br>
<span>my website is about transfering to you</span>
<br><br>
<a href="file:example2.com/file.xml">Website2</a>
<br>
<span>my website2 is about sharing a file link to download</span>
<br><br>
<a href="mailto:name@example3.com">Website2</a>
<br>
<span>my website3 is to send me email for medical conditions</span>

观看者允许这样做是否安全,或者是否会意外危及他们的隐私或安全?

【问题讨论】:

    标签: html security anchor url-scheme privacy


    【解决方案1】:

    这是个坏主意。请记住,绝大多数提供此类功能的网站(例如 Wordpress cmets)都会立即被恶意软件链接完全淹没。如果 HTTP 还不够糟糕,那么允许其他方案扩展了攻击者可以使用的选项,可以直接攻击您网站的访问者,也可以将您用作代理向量。如果他们真的有一个需要非 HTTP 方案的网站,他们应该链接到他们自己的网站并使用他们想要的任何链接,而不是将责任转嫁给您。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2017-10-11
      • 1970-01-01
      • 1970-01-01
      • 2015-02-06
      • 1970-01-01
      • 2017-05-27
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多