关于 PHPBB2 中链接的安全问题

问：

我最近在 phpbb2 的 bbcode.php 上编辑了一些正则表达式，我想知道它是否会带来安全问题（主要是关于来自 href 的脚本注入（如果可能的话））。

我只编辑了 [url]、[url=] 和我新创建的 [url=“”] bbcode 标签。

他们最初的正则表达式（日期为 2008 年）不允许“无效”字符，例如 url 值中的括号或空格（某些维基百科页面和文件托管服务的 URL 需要这些字符），因此我没有按照其他人的建议对 URL 的特殊字符进行编码，我只是编辑了正则表达式以允许协议中的字母数字字符以及 url 地址的域/其余部分中的任何字符。

phpbb2 的 bbencode_second_pass 函数中的新正则表达式 （$text = post 的文本）：

// matches a [url]xxxx://www.phpbb.com[/url] code..
$patterns[] = "#\[url\]([\w]+?://.*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url1'];

// [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
$patterns[] = "#\[url\]((www|ftp)\..*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url2'];

// [url=xxxx://www.phpbb.com]phpBB[/url] code..
$patterns[] = "#\[url=([\w]+?://.*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url3'];

// [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
$patterns[] = "#\[url=((www|ftp)\..*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url4'];


// [url="xxxx://www.phpbb.com"]phpBB[/url] code..
$patterns[] = "#\[url="([\w]+?://.*?)"\]([^?\n\r\t].*?)\[/url\]#is"; //closes on first "]
//$patterns[] = "#\[url="([\w]+?://.*?)"\](?![\w\n\s]*"\])([^?\n\r\t].*?)\[/url\]#is"; //closes on last "] //discarded, ambigous
$replacements[] = $bbcode_tpl['url3'];

// [url="www.phpbb.com"]phpBB[/url] code.. (no xxxx:// prefix).
$patterns[] = "#\[url="((www|ftp)\..*?)"\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url4'];


// [email][email protected][/email] code..
$patterns[] = "#\[email\]([a-z0-9&\-_.]+?@[\w\-]+\.([\w\-\.]+\.)?[\w]+)\[/email\]#si";
$replacements[] = $bbcode_tpl['email'];


$text = preg_replace($patterns, $replacements, $text);

// Remove our padding from the string..
$text = substr($text, 1);

return $text;

以及未经编辑的 phpbb2 声明：

$bbcode_tpl['url1'] = str_replace('{URL}', '\\1', $bbcode_tpl['url']);
$bbcode_tpl['url1'] = str_replace('{DESCRIPTION}', '\\1', $bbcode_tpl['url1']);

$bbcode_tpl['url2'] = str_replace('{URL}', 'http://\\1', $bbcode_tpl['url']);
$bbcode_tpl['url2'] = str_replace('{DESCRIPTION}', '\\1', $bbcode_tpl['url2']);

$bbcode_tpl['url3'] = str_replace('{URL}', '\\1', $bbcode_tpl['url']);
$bbcode_tpl['url3'] = str_replace('{DESCRIPTION}', '\\2', $bbcode_tpl['url3']);

$bbcode_tpl['url4'] = str_replace('{URL}', 'http://\\1', $bbcode_tpl['url']);
$bbcode_tpl['url4'] = str_replace('{DESCRIPTION}', '\\3', $bbcode_tpl['url4']); 

到目前为止，这与我的调试非常有效，现在我想问一下，通过允许将任何字符放置在 A 标签的 href 属性中，我是否会使我的用户或我自己受到任何黑客攻击？

比如说，我测试了 javascript URI hack （javascript：），它似乎即使在 Internet Explorer 上也不起作用，而且我不知道有什么方法可以通过 A 标签的 href 属性注入脚本，允许我的用户输入他们喜欢的任何内容是否会有任何风险（只要有有效的字母数字协议，例如 *：// 或 www.哪个会在标签的 href 中有一个 http:// 放在它之前）？

请注意，我不考虑链接到恶意网站，我想知道黑客是否能够通过标签的 href 注入脚本/cookie/任何东西，而无需用户点击它！

现在，让 href 属性在不点击其标签的情况下运行任何东西听起来有点多余，但无论如何，黑客有没有办法通过 href 属性在文档中注入恶意代码/javascript？