Devi codificare URL SEARCHED_QUERY_HERE
, altrimenti se un utente cerca &body=something
, il corpo del messaggio di posta elettronica verrà impostato su something
. Inoltre, se non lo codifichi tramite URL, se l'utente cerca un% letterale%20
(o simile), verrà invece visualizzato come spazio nel messaggio.
Questo non è un rischio per la sicurezza, però.
L'altro, ovvio rischio è che se non si codifica in HTML correttamente SEARCHED_QUERY_HERE
, si passerà a XSS. Ma sembra che lo stai già facendo, quindi sei coperto.
Alcuni linguaggi di programmazione, come PHP, richiedono di specificare esplicitamente che le virgolette debbano essere codificate, quindi assicurati di passare gli argomenti corretti alla tua funzione di codifica HTML.
Esempio (PHP)
echo '<a href="mailto:[email protected]?subject='.htmlspecialchars(rawurlencode(SEARCHED_QUERY_HERE), ENT_QUOTES, 'utf-8') .'>Link</a>';