Moin!

Die Frage war aber auch nicht, wie ich das Problem lösen kann, sondern welche Strings innerhalb eines href Attributs gefährlich werden können.
Mir fällt als solches nur "javascript:" ein, wüsste aber gern, ob es da mehr gibt.

Also mit NULL-Bytes taten sich eine zeitlang einige Browser schwer, ich glaube auch, dass man mit überlangen URLs einen Pufferüberlauf hervorrufen konnte.

Was die Protokollangabe betrifft, würde ich eher auf eine Whitelist setzen. Also statt zu überlegen, welche Protokolle sich suboptimal auswirken können und dann doch welche zu übersehen, empfehle ich zu überlegen, welche Protokolle in deiner Anwendung sinnvoll sind. Vor einigen Jahren konntest du z.B. mit "telnet:" oder so deinen Browser dazu überreden, auf dem lokalen Rechner eine Datei zu schreiben. Die Whitelist liefe dann wahrscheinlich auf http, https, ftp und vielleicht noch ein paar andere hinaus.

Schönes Wochenende,
Robert