@chakrit предложил использовать пользовательский синтаксис, например. скопированные URL-адреса - это может быть наилучшим решением. Вы ОБЯЗАТЕЛЬНО не хотите, чтобы начать баловаться с разбором и т.д.
Просто убедитесь, что вы правильно закодировать весь комментарий (в зависимости от контекста - см моего ответа на это здесь Will HTML Encoding prevent all kinds of XSS attacks?)
(кстати, я только что обнаружил хороший пример обычая синтаксис прямо там ... ;-))
Как упоминалось выше, ограничивайте расширение файла jpg/gif/etc - даже если это можно обойти, а также ограничить протокол (например, http: //).
Другой вопрос, который следует учитывать помимо XSS - это CSRF (http://www.owasp.org/index.php/Cross-Site_Request_Forgery). Если вы не знакомы с этой проблемой безопасности, она в основном позволяет злоумышленнику заставить мой браузер отправлять действительный аутентифицированный запрос в ваше приложение, например, для перевода денег или для изменения моего пароля. Если это размещено на вашем сайте, он может анонимно атаковать любое уязвимое приложение - , включая ваши. (Обратите внимание, что даже если другие приложения уязвимы, не ваша ошибка, они подвергаются атаке, но вы все еще не хотите быть хостом эксплойта или источником атаки ...). Что касается вашего собственного сайта, для злоумышленника гораздо проще изменить пароль пользователей на вашем сайте, например.
Также не следует указывать URL-адреса, которые не начинаются с http: // (особенно javascript :) – rpetrich 2008-09-21 04:09:33