이메일을 보낼 때 캐릭터를 탈출해야합니까?

Question

사용 중입니다 장고 접촉 양식 방문자가 이메일을 보낼 수 있도록 웹 사이트에서.

현재 캐릭터를 피하고 있으므로 단일 및 이중 인용 표시가 변환됩니다. ' 그리고 " 각기. 견적 표시가 표시되면 이메일이 더 읽을 수 있습니다. ' 그리고 ".

XSS의 위험으로 인해 방문자로부터 웹 페이지에 입력되지 않은 입력을 절대로 넣지 말아야하는 이유를 이해합니다. 이메일과 동일한 위험이 있습니까?

Answer 1

이것들이 HTML 이메일이라면 탈출을 신경 쓰지 않을 것입니다. 그래서 나는 이것이 일반 텍스트라고 가정하고 있습니까? 이 경우 견적을 비활성화하려고합니다. 템플릿의 본문을 랩핑 할 수 있습니다

{% autoescape off %}
...
{% endautoescape %}

캐릭터를 내버려두기 위해.

Answer 2

나는 여전히 안전하다고 인코딩합니다. 대부분의 이메일 클라이언트는 이미지를 허용하기 때문에 img 이메일로 태그를 말하십시오 ... 누군가의 IP 주소를 얻으십시오.