Abbiamo una funzione tell-a-friend sul nostro sito Web in cui presentiamo un modulo all'utente per l'email del destinatario e il messaggio personale. Il messaggio personale viene aggiunto al nostro modello di email. L'email viene inviata per conto del nostro sito Web. Il nostro modulo assomiglia a questo
Quali controlli dovremmo fare per garantire che una persona malintenzionata non possa hackerarla e usarla per la sua pubblicità / qualcos'altro?
Recentemente, abbiamo avuto un caso di frode via e-mail in cui un utente malintenzionato è stato in grado di iniettare un codice html nella casella di input fornita per digitare un messaggio personale. L'email ricevuta conteneva un modello di email totalmente nuovo (e il nostro modello in basso) e collegamenti HTTP ad altri siti.
Aggiungi ai seguenti punti
- Verifica regex per gli URL e gli URL di mancata ricezione