https://blog.qife122.com/tags/%E5%8D%8F%E8%AE%AE%E7%9B%B8%E5%AF%B9url/ Recent content in 协议相对URL on 办公AI智能小助手 Hugo zh-cn qife Tue, 09 Sep 2025 17:48:40 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8%E5%8D%8F%E8%AE%AE%E7%9B%B8%E5%AF%B9url%E7%BB%95%E8%BF%87%E4%B8%AA%E4%BA%BA%E7%AE%80%E4%BB%8B%E7%A6%81%E6%AD%A2%E9%93%BE%E6%8E%A5%E9%99%90%E5%88%B6/ Tue, 09 Sep 2025 17:48:40 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8%E5%8D%8F%E8%AE%AE%E7%9B%B8%E5%AF%B9url%E7%BB%95%E8%BF%87%E4%B8%AA%E4%BA%BA%E7%AE%80%E4%BB%8B%E7%A6%81%E6%AD%A2%E9%93%BE%E6%8E%A5%E9%99%90%E5%88%B6/ <h1 id="绕过个人简介禁止链接限制的协议相对url漏洞">绕过个人简介&quot;禁止链接&quot;限制的协议相对URL漏洞</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>该报告发现addons.allizom.org网站个人简介字段存在安全问题：应用程序虽然明确声明禁止使用链接，但攻击者可以通过协议相对URL（<code>//evil.com</code>）绕过此限制。尽管应用策略明确禁止链接，用户仍可使用语法<code>&lt;a href=&quot;//evil.com&quot;&gt;click&lt;/a&gt;</code>嵌入功能性超链接，成功创建可点击的重定向到外部网站的链接。</p>