هل أنا بحاجة إلى الهرب الأحرف عند إرسال رسائل البريد الإلكتروني؟
https://stackoverflow.com/questions/1412417
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وأنا باستخدام جانغو نموذج الاتصال على موقع على الانترنت للسماح للزوار لإرسال رسائل البريد الإلكتروني.
وشخصيات حاليا، انها الهروب، يتم تحويل علامات الاقتباس حتى مفردة ومزدوجة ل' و" على التوالي. إن رسائل البريد الإلكتروني يكون أكثر قابلية للقراءة إذا تم عرض علامات الاقتباس كما ' و".
وأنا أفهم لماذا أنا لا ينبغي أبدا وضع الإدخال يمكن إلغاؤه من الزوار إلى صفحات الويب، وذلك لأن من مخاطر XSS. هناك نفس الخطر مع رسائل البريد الإلكتروني، أو هل هو موافق لإرسال إدخال الزائر يمكن إلغاؤه؟
المحلول
وإذا كانت هذه هي رسائل البريد الإلكتروني HTML، ثم كنت لا تمانع في الفرار، لذلك أفترض هذه هي نص عادي؟ في أي حال كنت ترغب في تعطيل نقلا عن. يمكنك لف الجسم من القالب في
{% autoescape off %}
...
{% endautoescape %}
لترك حرفا وحدها.
نصائح أخرى
وكنت لا تزال ترميز لها أن تكون آمنة. وبما أن معظم عملاء البريد الإلكتروني تسمح الصور، لا شيء لوقف شخص ما باستخدام علامة img في رسالة بالبريد الالكتروني أن أقول ... والحصول على عنوان IP لشخص ما.
