标签: javascript html xss csrf
我允许用户向彼此发送包含超链接的消息。但是,这也使得用户可以通过在锚标记中嵌入javascript来轻松地相互执行CSRF和XSS攻击。如果消息包含将执行JavaScript的锚标记,我想禁止发送消息。如何以编程方式确定锚标记是否不会执行任何JavaScript?