标签: security anchor xss data-uri
我知道这对于其他元素和属性并不是一个好主意,但对于<a href=>来说,似乎javascript:是唯一可以导致真正的xss的方案。
<a href=>
允许这样安全吗? 我唯一没想到的是,如果一个装有数据的flash文件:ᴜʀɪ会保留网站的相同来源。
答案 0 :(得分:1)
是的,允许锚标签的href元素上的所有协议都是 只要javascript:scheme是正确的,那就完全安全了 列入黑名单。没有插件可以逃避这种行为。