私のブログでは、ユーザーがこのようなリンクを送信できるようにし<a href="$">link text</a>ていますjavascript:
私の質問は次のとおりです。
- javascript が実行されるのを防ぐだけで十分ですか?
- キーワードをフィルタリングしたほうがよい
javascriptですか? - データ uri
data:は と同じ脅威をもたらすことができますjavascript:か? - http、https、ftp... および#で始まらない入力をフィルタリングする場合(これが必要です)。それは十分ですか?
私の主な質問は4番目です。最初の 3 つの質問については、はい/いいえの答えで問題ありません。