我的网站上有一个部分允许用户将其个人资料中的链接上传到他们的MySpace帐户。为了保护其他用户,我想对域名(www.myspace.com/)进行硬编码并附加用户(已清理)的输入。对我来说,这似乎非常安全,并确保它始终到MySpace.com。但是,恶意用户是否有任何方式可以将标签附加到“www.myspace.com”末尾,并将其重定向到另一个站点?或者,由于域名是硬编码的,之后添加的任何内容都只会导致404错误?
由于
答案 0 :(得分:2)
首先,您必须清理输入(如您所知)。假设你这样做,那么如果域是硬编码的,链接将转到myspace.com上的服务器,并且可以通过myspace.com来做正确的事情,可能输入错误。但它不会被劫持到另一个域。
如果您没有清理,用户可以输入类似
的内容myname" onclick="do_evil_stuff...">...
这可能会劫持链接。