防止HTML注入的指南
防止HTML注入的指南
提问于 2017-02-23 17:57:12
我们有一个告诉朋友的功能,在我们的网站上,我们提出了一个表格给用户的收件人电子邮件和个人信息。个人信息被添加到我们的电子邮件模板中。这封邮件是代表我们的网站发送的。我们的表格看起来像这样
我们应该做什么检查,以确保恶意的人不能黑它,并利用它自己/其他东西的宣传?
最近,我们遇到了一个类似邮件欺诈的案例,恶意用户可以在输入框中插入一些html代码,以便输入个人信息。收到的电子邮件包含一个全新的电子邮件模板(和我们的模板在底部)和HTTP链接到其他网站。
请补充以下各点
- 重新检查URL和不发送URL
- ?
回答 2
Security用户
发布于 2017-02-23 22:51:48
这很简单(理论上):
- 总是转义用户提供的输入。
- 总是在显示时间做你的逃逸。这样可以防止出现错误的内容类型转义的问题,并允许您插入已发现的漏洞,而不必为旧数据编写迁移。
Security用户
发布于 2017-02-23 21:36:36
非常模糊的问题,但如果您想要一种可靠的火方式来阻止gmail将消息框中输入的文本显示为html,则可以将内容类型从html更改为纯文本。如果这就是你要找的,我可以详细说明。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/152177
复制相关文章
相似问题
腾讯云开发者
