2

如果我允许用​​户将 URL 发布到页面,然后我<a>使用该 URL 创建一个标签,我必须首先检查它是否安全。

我知道该javascript:协议是不安全的,因为它会从用户的 URL 运行代码。

我知道,http:协议https:没问题。

我也知道有更多的协议,比如ftp:,那么,有没有我可以复制的白名单?

4

1 回答 1

0

HTML 规范有方案的白名单,registerProtocolHandler()这可能是一个起点。

于 2013-05-07T22:13:35.347 回答