Improved url checks on AgenciaTransporte model to prevent XSS attacks…

… with javascript urls.

------
Mejorada la comprobación de urls en el modelo de agencia de transporte para evitar ataques XSS mediante urls de tipo javascript.

Core/Base/Utils.php

@@ -135,6 +135,16 @@ public static function intval(?string $str): ?int
         return $str === null ? null : (int)$str;
     }
 
+    public static function isValidUrl(string $url): bool
+    {
+        // si la url está vacío o comienza por javascript: entonces no es una url válida
+        if (empty($url) || strpos($url, 'javascript:') === 0) {
+            return false;
+        }
+
+        return filter_var($url, FILTER_VALIDATE_URL) !== false;
+    }
+
     /**
      * This function converts:
      * < to &lt;

Core/Model/AgenciaTransporte.php

@@ -93,7 +93,7 @@ public function test(): bool
         $this->web = $utils->noHtml($this->web);
 
         // check if the web is a valid url
-        if (!empty($this->web) && !filter_var($this->web, FILTER_VALIDATE_URL)) {
+        if (!empty($this->web) && false === self::toolBox()::utils()::isValidUrl($this->web)) {
             self::toolBox()::i18nLog()->error('invalid-web');
             return false;
         }

Test/Core/Model/AgenciaTransporteTest.php

@@ -59,6 +59,10 @@ public function testBadWeb()
         $agency->nombre = 'Test Agency';
         $agency->web = 'javascript:alert(origin)';
         $this->assertFalse($agency->save(), 'agency-can-save-bad-web');
+
+        // otra url peligrosa
+        $agency->web = 'javascript://example.com//%0aalert(document.domain);//';
+        $this->assertFalse($agency->save(), 'agency-can-save-bad-web-2');
     }
 
     public function testGoodWeb()