¿Necesito escapar los caracteres al enviar correos electrónicos?
https://stackoverflow.com/questions/1412417
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy usando Formulario de contacto de Django en un sitio web para permitir que los visitantes para enviar correos electrónicos.
Actualmente, se trata de caracteres de escape, por lo que las comillas simples y dobles se convierten a & amp; # 39; y & amp; quot; respectivamente. Los correos electrónicos serían más legibles si las comillas se mostraran como ' y " .
Entiendo por qué nunca debería colocar información no escapada de los visitantes en mis páginas web, debido al riesgo de xss. ¿Existe el mismo riesgo con los correos electrónicos, o está bien enviar la información que no haya escapado el visitante?
Solución
Si estos son correos electrónicos HTML, entonces no le importaría que se escapen, ¿así que supongo que son de texto sin formato? En cuyo caso desea desactivar la cotización. Puedes envolver el cuerpo de tu plantilla en
{% autoescape off %}
...
{% endautoescape %}
para dejar a tus personajes en paz.
Otros consejos
Todavía los codificaría para estar seguros. Dado que la mayoría de los clientes de correo electrónico permiten imágenes, nada impide que alguien use una etiqueta img en un correo electrónico para decir ... obtener la dirección IP de alguien.
