Linee guida per prevenire l'iniezione di HTML [chiuso]

0

Abbiamo una funzione tell-a-friend sul nostro sito Web in cui presentiamo un modulo all'utente per l'email del destinatario e il messaggio personale. Il messaggio personale viene aggiunto al nostro modello di email. L'email viene inviata per conto del nostro sito Web. Il nostro modulo assomiglia a questo

Quali controlli dovremmo fare per garantire che una persona malintenzionata non possa hackerarla e usarla per la sua pubblicità / qualcos'altro?

Recentemente, abbiamo avuto un caso di frode via e-mail in cui un utente malintenzionato è stato in grado di iniettare un codice html nella casella di input fornita per digitare un messaggio personale. L'email ricevuta conteneva un modello di email totalmente nuovo (e il nostro modello in basso) e collegamenti HTTP ad altri siti.

Aggiungi ai seguenti punti

  1. Verifica regex per gli URL e gli URL di mancata ricezione
posta Shwetabh Shekhar 23.02.2017 - 18:57
fonte

2 risposte

1

È abbastanza semplice (in teoria):

  • Esci sempre dall'input fornito dall'utente
  • Fai sempre la tua fuga in tempo di visualizzazione. In questo modo si evitano problemi in cui si è sfuggiti qualcosa per il tipo di contenuto sbagliato e si consente di collegare i buchi scoperti senza dover scrivere una migrazione per i vecchi dati.
risposta data 23.02.2017 - 23:51
fonte
0

Domanda molto vaga, ma se vuoi un modo sicuro per impedire a gmail di visualizzare il testo inserito nella finestra del messaggio come html, puoi cambiare il tipo di contenuto da html in testo semplice. Se questo è ciò che stai cercando, posso elaborarlo.

    
risposta data 23.02.2017 - 22:36
fonte

Leggi altre domande sui tag