メールを送信するときに文字をエスケープする必要がありますか?
質問
Webサイトで Django連絡フォームを使用して、訪問者を許可していますメールを送信します。
現在、エスケープ文字であるため、一重引用符と二重引用符はそれぞれ'
および& quot;
に変換されます。引用符が '
および"
として表示される場合、電子メールは読みやすくなります。
xssのリスクがあるため、訪問者からのエスケープされていない入力を自分のWebページに入れてはならない理由を理解しています。メールでも同じリスクがありますか、それとも訪問者のエスケープされていない入力を送信しても大丈夫ですか?
解決
これらがHTMLメールである場合、エスケープを気にしないので、これらはプレーンテキストであると想定していますか?その場合は、引用を無効にします。テンプレートの本文は
でラップできます{% autoescape off %}
...
{% endautoescape %}
キャラクターをそのままにする。
他のヒント
安全のためにそれらをエンコードします。ほとんどの電子メールクライアントは画像を許可するため、電子メールで img
タグを使用して誰かが...誰かのIPアドレスを取得することを止めることはできません。
所属していません StackOverflow