编码引号和删除最终的javascript:前缀是否足够?
P.S。安全到足以击败XSS攻击。
答案 0 :(得分:1)
您可以使用php函数验证网址
$url = "http://google.com";
if (filter_var($url, FILTER_VALIDATE_URL)) {
echo "URL is valid";
}
else {
echo "URL is invalid";
}
答案 1 :(得分:0)
使用带有ENT_QUOTES标记的htmlspecialchars()进行编码从技术上讲,可以从HTML的角度使URL安全/卫生,但并不能保证它会创建有效的地址。
$url = 'http://invalid"url';
$url = htmlspecialchars($url, ENT_QUOTES); // Yields "http://invalid"url"