允许锚元素上的自包含 xss 安全吗(只是黑名单 javascript:正确)?
Is allowing self contained xss on anchor elements safe (just blacklist javascript: properly)?
我知道这对其他元素和属性来说不是一个好主意,但是<a href=>似乎javascript: 是唯一可以导致真正 xss 的方案。
那么允许这样做安全吗?
我唯一想不通的是,如果一个加载了数据的 Flash 文件:ᴜʀɪ 会保持网站的相同来源。
是,允许锚标记的 href 元素上的所有协议是
只要 javascript: 方案正确,就绝对安全
列入黑名单。没有允许逃避这种行为的插件。
我知道这对其他元素和属性来说不是一个好主意,但是<a href=>似乎javascript: 是唯一可以导致真正 xss 的方案。
那么允许这样做安全吗? 我唯一想不通的是,如果一个加载了数据的 Flash 文件:ᴜʀɪ 会保持网站的相同来源。
是,允许锚标记的 href 元素上的所有协议是 只要 javascript: 方案正确,就绝对安全 列入黑名单。没有允许逃避这种行为的插件。