Codifica del contenuto dell'email HTML

3

Dire che ho un modulo sul mio sito web.

Gli elementi di input del modulo sono: indirizzo email, nome e area di testo di feedback.

L'applicazione lato server a cui questo modulo viene inviato invierà un messaggio di posta elettronica di tipo HTML all'indirizzo specificato dall'utente che fornisce tutti i campi di input specificati.

Ad esempio

Hi {Name},

Thanks for your feedback. Your feedback was: {Feedback}

The email you provided is: {Email}

La mia domanda è:

Devo codificare le variabili {Name} e {Feedback} nell'email? Dato che nessun attuale client di posta elettronica o interfaccia web di posta elettronica corrente eseguirà alcuno script o caricherà risorse esterne per impostazione predefinita?

Il motivo per cui lo chiedo è perché ho segnalato un tale "problema" a una grande azienda pubblica. L'ingegnere della sicurezza con cui ho parlato, mi ha detto che non si preoccupano di queste cose, e che questo tipo di cose dovrebbero accadere.

Ha suggerito che è un errore dell'utente non utilizzare un client più sicuro (se il client esegue il javascript).

Grazie.

    
posta Alexandru Luchian 05.12.2012 - 03:00
fonte

1 risposta

3

Should I encode the {Name} and {Feedback} variables in the email?

Sì, per correttezza, anche se non esiste una minaccia pratica. Se il feedback-giver include un segno di meno rispetto al feedback, dovrebbe apparire nella posta come un segno di non-segno e non essere trattato come parte di un tag di markup. Gestisci correttamente l'inserimento del contesto di testo, scarica gratuitamente la sicurezza.

Gli attacchi che utilizzano l'iniezione HTML sono molto più limitati nella posta che in una pagina Web perché si presume che non vi sia origine associata al mittente che possa essere usurpato per ottenere lo scripting cross-site, se lo scripting viene eseguito affatto.

Tuttavia non è solo JavaScript: l'iniezione di markup ti permetterebbe comunque di riformattare la posta in generale. Ad esempio, è possibile inserire un collegamento contraffatto in ciò che appare come la parte specificata dal mittente del messaggio di posta, o un codice in stile per sovrascrivere il contenuto personalizzato sull'intero corpo della posta. A seconda di chi è la Big Public Company ci potrebbe essere un aumento del rischio di phishing qui.

    
risposta data 05.12.2012 - 03:25
fonte

Leggi altre domande sui tag