在一个网站上,如果我有一个表单,其中用户可以输入一些文本,然后显示用户输入的页面。我知道html要对用户输入的值进行编码,以防止脚本攻击。如果表单发送的是电子邮件地址,我想我也会这么做,但是电子邮件有什么特殊情况吗?电子邮件客户端是否会运行注入到电子邮件中的any脚本?
发布于 2008-09-22 14:09:15
在将发布的内容分配给电子邮件的HTML正文之前,您绝对应该对其进行HTML编码。你的代码应该已经拒绝了像'‘这样的无效内容,不仅仅是在电子邮件的情况下,而是在所有情况下。
您不需要担心其他的考虑因素。
发布于 2008-09-22 13:16:07
虽然在发送文档之前去掉文档中的<script>
标记仍然是一个好主意,但我认为这样做的威胁很小。我相信你会很难找到一个电子邮件客户端(仍在接受支持),它不会在呈现电子邮件之前剥离脚本。
发布于 2008-09-22 10:28:46
我相信,通过将电子邮件正文标记为text/plain,可以避免javascript和/或html攻击(但我不相信outlook会遵循标题的建议)。
https://stackoverflow.com/questions/114148
复制相似问题