Muss ich Zeichen entkommen, wenn E-Mails?
Frage
Ich verwende Django Kontaktformular auf einer Website-Besuchern zu ermöglichen, E-Mails zu senden.
Derzeit ist es zu entkommen Zeichen, so Einzel- und Doppel Anführungszeichen umgewandelt werden jeweils '
und "
. Die E-Mails wären besser lesbar, wenn Anführungszeichen als '
und "
angezeigt wurden.
Ich verstehe, warum ich nie unescaped Eingabe von Besuchern in meine Web-Seiten, wegen der Gefahr von xss setzen sollte. Gibt es das gleiche Risiko im Zusammenhang mit E-Mail, oder ist es ok der Besucher unescaped Eingang zu senden?
Lösung
Wenn diese HTML-E-Mails sind, dann würden Sie das entweichende nichts dagegen, so gehe ich davon aus das sind Klartext? In diesem Fall sollten Sie die Angabe deaktivieren. Sie können den Körper Ihrer Vorlage in
wickeln{% autoescape off %}
...
{% endautoescape %}
Ihre Charaktere allein lassen.
Andere Tipps
Ich würde noch kodieren sie sicher zu sein. Da die meisten E-Mail-Clients können Bilder, jemanden stoppen nichts ein img
Tag in einer E-Mail mit sagen ... jemand die IP-Adresse erhalten.