La mejor manera de manejar la seguridad y evitar XSS con URLs ingresadas por el usuario

El proceso de hacer un enlace "seguro" debe pasar por tres o cuatro pasos:

• Unescape / re-codificar la cadena que se le ha dado (RSnake ha documentado una serie de trucos en http://ha.ckers.org/xss.html que usan escape y codificaciones UTF).
• Limpie el enlace: Las expresiones regulares son un buen comienzo - asegúrese de truncar la cadena o tirarla si contiene un " (o lo que use para cerrar los atributos en su salida); Si está haciendo los enlaces solo como referencias a otra información, también puede forzar el protocolo al final de este proceso, si la parte anterior al primer punto no es 'http' o 'https', agregue 'http://' al inicio. Esto le permite crear enlaces utilizables a partir de una entrada incompleta como un usuario escribiría en un navegador y le da una última oportunidad de tropezar con cualquier travesura que alguien haya tratado de colarse.
• Compruebe que el resultado es una URL bien formada (protocolo://host.domain[:puerto][/camino][/[archivo]][?queryField=queryValue] [#anchor]).
• Posiblemente verifique el resultado en una lista negra del sitio o intente recuperarlo a través de algún tipo de comprobador de malware.

Si la seguridad es una prioridad, espero que los usuarios perdonen un poco de paranoia en este proceso, incluso si termina tirando algunos enlaces seguros.

Use una biblioteca, como OWASP-ESAPI API:

• PHP - http://code.google.com/p/owasp-esapi-php /
• Java - http://code.google.com/p/owasp-esapi-java /
• . NET - http://code.google.com/p/owasp-esapi-dotnet /
• Python - http://code.google.com/p/owasp-esapi-python /

Lea el siguiente:

• https://www.golemtechnologies.com/articles/prevent-xss#how-to-prevent-cross-site-scripting
• https://www.owasp.org/
• http://www.secbytes.com/blog/?p=253

Por ejemplo:

$url = "http://stackoverflow.com"; // e.g., $_GET["user-homepage"];
$esapi = new ESAPI( "/etc/php5/esapi/ESAPI.xml" ); // Modified copy of ESAPI.xml
$sanitizer = ESAPI::getSanitizer();
$sanitized_url = $sanitizer->getSanitizedURL( "user-homepage", $url );

Otro ejemplo es usar una función integrada. La función de PHP filter_var es un ejemplo:

$url = "http://stackoverflow.com"; // e.g., $_GET["user-homepage"];
$sanitized_url = filter_var($url, FILTER_SANITIZE_URL);

Utilizando filter_var permite llamadas a javascript y filtra esquemas que no son ninguno de los dos http ni https. Usar el desinfectante OWASP ESAPI es probablemente la mejor opción.

Otro ejemplo es el código de WordPress:

• http://core.trac.wordpress.org/browser/tags/3.5.1/wp-includes/formatting.php#L2561

Además, dado que no hay forma de saber dónde se enlaza la URL (es decir, podría ser una URL válida, pero el contenido de la URL podría ser travieso), Google tiene una API de navegación segura que puede llamada:

• https://developers.google.com/safe-browsing/lookup_guide

Rodar su propia expresión regular para el saneamiento es problemático por varias razones:

• A menos que seas Jon Skeet, el código tendrá errores.
• Las API existentes tienen muchas horas de revisión y pruebas detrás de ellas.
• Las API de validación de URL existentes consideran la internacionalización.
• Las API existentes se mantendrán actualizadas con las emergentes estándar.

Otras cuestiones a considerar:

• ¿Qué esquemas permitís (son file:/// y telnet:// aceptables)?
• ¿Qué restricciones desea colocar en el contenido de la URL (son aceptables las URL de malware)?

Simplemente codifique los enlaces en HtmlEncode cuando los genere. Asegúrate de no permitir enlaces javascript:. (Es mejor tener una lista blanca de protocolos que se aceptan, por ejemplo, http, https y mailto.)

Usted no especifica el idioma de su solicitud, entonces asumiré ASP.NET, y para esto se puede utilizar el Microsoft Anti-Cross Site Scripting Library

Es muy fácil de usar, todo lo que necesita es un include y eso es todo:)

Ya que estás en el tema, ¿por qué no leer en Directrices de diseño para Aplicaciones Web Seguras

Si cualquier otro idioma.... si hay una biblioteca para ASP.NET tiene que estar disponible también para otro tipo de lenguaje (PHP, Python, ROR, etc)

¿Qué tal no mostrarlos como un enlace? Solo usa el texto.

Combinado con una advertencia para proceder bajo su propio riesgo puede ser suficiente.

Adición - ver también ¿Debo desinfectar el marcado HTML de un CMS alojado? para una discusión sobre la desinfección de la entrada del usuario

Puede usar un código hexadecimal para convertir la URL completa y enviarla a su servidor. De esa manera el cliente no entendería el contenido a primera vista. Después de leer el contenido, podría decodificar la URL de contenido=? y enviarlo al navegador.

Permitir una URL y permitir JavaScript son 2 cosas diferentes.