我想确保诸如
javascript:alert('a');
和 vbscript 变体等不允许被列入白名单https?|ftp
That's easy enough: ^(?:https?|ftp)://
但是我怎样才能允许相对网址呢?
比如../../../blah和./blah还有/images/img.png
也就是说使用^(?:(?:https?|ftp)://|[./])安全吗?
我已经四处询问,可能的解决方案可能是: 解析网址
如果 !scheme 或 scheme == http 或 scheme == https 或 scheme == ftp 或 scheme == mailto
【问题讨论】:
您可以使用parse_url 代替正则表达式并检查scheme 是否为空或http、https 和ftp 之一:
$components = parse_url($url);
if (!isset($url['scheme']) || in_array(strtolower($url['scheme']), array('http', 'https', 'ftp'))) {
// valid
} else {
// invalid
}
【讨论】:
另见:Sanitizing strings to make them URL and filename safe?
我正在尝试过滤 URL 等 进入
<a href=""或<img src=""
要小心,因为有可能仅使用“开头为”正则表达式“突破”属性。例如,我可以提供http://safeurl.com" onclick="alert('xss attack'),当插入到您的属性中时,您将拥有:
<a href="http://safeurl.com" onclick="alert('xss attack')">
确保urlencode() 值以及您正在执行的任何其他安全措施。
我可能会考虑反对允许../../relative/urls 或者可能像Gumbo 所建议的那样使用 parse_url。
查看OWASP.org 上的信息以获得更多建议。
【讨论】: