为电子邮件编码用户输入?

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (2)
  • 关注 (0)
  • 查看 (51)

在一个网站上,如果我有一个表单,用户可以输入一些文本,然后有一个显示用户输入的内容的页面,我知道html会对用户输入的值进行编码,以防止脚本攻击。如果表单发送的是html电子邮件,我想我也会这样做,但是否有任何特殊情况的电子邮件,并将电子邮件客户端运行注入电子邮件的任何脚本?

提问于
用户回答回答于

在将张贴的内容分配给电子邮件的HTML主体之前,你应该明确地进行HTML编码。<script>“不只是在电子邮件的情况下,而且在所有情况下都是无效的。”

用户回答回答于

虽然<script>在发送之前从文档中删除标记仍然是一个好主意,但我认为威胁很低。我相信你很难找到一个电子邮件客户端(仍在接收支持),它不会在呈现电子邮件之前删除脚本。

扫码关注云+社区

领取腾讯云代金券