Пользователь в качестве своих контактных данных ввел ссылку на другой сайт (в специально предназначенное для этого поле формы). Это может быть ссылка на его сайт, на страницу вконтактике и т.п.
Она хранится в базе и отображается при отображении контактной информации пользователя с помощью тэга <a>

Два вопроса:

1) Как провалидировать ссылку при вводе в разумных пределах? (протокол может быть не обязательно только http://)

2) Как безопасно вывести ее потом (рендерю Razor-ом) на страничку

в предположении, что пользователь может быть либо криворуким, либо злоумышленником

Ну уж регулярку я могу найти или сварганить.

Ограничивать [0-9A-Za-z] - прошлый век, сейчас полно национальных сайтов и зон
Не говоря уж об ограничениях списком доменов первого уровня, как в некоторых примерах по ссылке, или на наличие www, как в твоем примере, что совсем уже смешно.

Ограничивать протоколами http(s)/ftp - не знаю, логично ли? Существуют же ссылки sopcast, например и т.п., может просто проверять на ".+:\/\/" ?

Вопрос-то, по большому счету, был не о том, как регулярку написать, а о принципах проверки, чтобы дать пользователю максимальную свободу, но при этом не накосячить в безопасности самого сайта (если пользователь дал кривую ссылку - это его проблема, если фишинговую - это проблема того, кто кликает).

Возможно, рендеринг самого разора обезопасит ее по полной программе и ничего особо предпринимать не требуется? Спрашиваю потому, что я могу просто чего-то не знать.

Uri.TryCreate - спасибо
вероятно, этого будет достаточно для моих целей, поковыряю.

hVosttЛогично, я считаю, если ты в поле ввода просишь ссылку на глобальный ресурс, то это http(s)/ftp, остальные слишком специфичные, это зависит от задач. Так-то в URI можно передать и ссылку на локальный файл, только смысл?ну ок, это вопрос организационный

hVosttНе совсем ясно на каком этапе ты хочешь безопасности — на этапе получения/сохранения информации, или на этапе вывода? Превалидация предпочтительнее, так как избавит от возможных ошибок в последствии.больше на этапе вывода, хотя вопрос, конечно, комплексный.

Грубо говоря, string/IHtmlString защищает от того, чтобы в выводимых данных (особенно тех, которые были ранее введены пользователем тем или иным способом) не оказалось что-то типа <script> и т.п. Про это в учебниках упоминают, про ссылки же мне ничего не попадалось, поэтому пытаюсь перестраховаться.