メールを送信するときに文字をエスケープする必要がありますか?

StackOverflow https://stackoverflow.com/questions/1412417

  •  05-07-2019
  •  | 
  •  

質問

Webサイトで Django連絡フォームを使用して、訪問者を許可していますメールを送信します。

現在、エスケープ文字であるため、一重引用符と二重引用符はそれぞれ' および& quot; に変換されます。引用符が 'および" として表示される場合、電子メールは読みやすくなります。

xssのリスクがあるため、訪問者からのエスケープされていない入力を自分のWebページに入れてはならない理由を理解しています。メールでも同じリスクがありますか、それとも訪問者のエスケープされていない入力を送信しても大丈夫ですか?

役に立ちましたか?

解決

これらがHTMLメールである場合、エスケープを気にしないので、これらはプレーンテキストであると想定していますか?その場合は、引用を無効にします。テンプレートの本文は

でラップできます 
{% autoescape off %}
...
{% endautoescape %}

キャラクターをそのままにする。

他のヒント

安全のためにそれらをエンコードします。ほとんどの電子メールクライアントは画像を許可するため、電子メールで img タグを使用して誰かが...誰かのIPアドレスを取得することを止めることはできません。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top