编码引号和删除最终javascript:的前缀就足够了吗?
PS 安全到足以击败 XSS 攻击。
问问题
951 次
2 回答
1
您可以使用 php 函数来验证 url
$url = "http://google.com";
if (filter_var($url, FILTER_VALIDATE_URL)) {
echo "URL is valid";
}
else {
echo "URL is invalid";
}
于 2013-09-03T18:08:06.537 回答
0
htmlspecialchars()从技术上讲,使用标志编码ENT_QUOTES将使 URL 从 HTML 角度安全/卫生地使用,但它不保证它会创建一个有效的地址。
$url = 'http://invalid"url';
$url = htmlspecialchars($url, ENT_QUOTES); // Yields "http://invalid"url"
于 2013-09-03T18:13:39.437 回答