我在 Codeigniter - PHP 中有一个应用程序,它显示来自电子邮件服务器的电子邮件内容。我在iframe
. 它完美无缺。
目前由于某些原因,我没有默认启用 CSRF 保护。但是当谈到电子邮件时,我担心安全性,因为电子邮件来自系统外部。
我需要遵循什么标准才能在网页上显示电子邮件吗?还有任何与此相关的安全问题吗?
另请注意,我对此进行了很多搜索,但我找不到任何有关该问题的信息性文章。
请帮我。
谢谢。
我在 Codeigniter - PHP 中有一个应用程序,它显示来自电子邮件服务器的电子邮件内容。我在iframe
. 它完美无缺。
目前由于某些原因,我没有默认启用 CSRF 保护。但是当谈到电子邮件时,我担心安全性,因为电子邮件来自系统外部。
我需要遵循什么标准才能在网页上显示电子邮件吗?还有任何与此相关的安全问题吗?
另请注意,我对此进行了很多搜索,但我找不到任何有关该问题的信息性文章。
请帮我。
谢谢。
没有任何问题。我的意思是,XSS 关注为表单提交提供安全性。
如果您的问题仅与显示内容有关...没有什么可担心的。
例如,xss 直接以 codeigniter 形式实现。它过滤所有输入。
您必须首先了解 CSRF 的实际作用以及受害者如何受到这种方法的攻击?CSRF 是一键式攻击。攻击者强迫用户更改受害者的敏感信息,如密码或电子邮件,甚至不让他知道。与远程攻击不同,这种攻击总是需要受害者的交互。您可以在 iframe 中打开 URL,但这并不意味着该 URL 不受 CSRF 保护。如果用户的输入要进入数据库并且没有 CSRF 保护,那么您必须为它做点什么。否则你不需要紧张。
CSRF 主要用于在提交表单时确保它不是从外部提交的。由于您没有接受任何输入,因此 CSRF 不是问题。
但是当您显示电子邮件内容时,您可能会考虑清理 XSS。当您阅读电子邮件并直接显示到您的网站时,XSS clean 会删除任何不需要的内容。例如,电子邮件内容是一个脚本,可以将 cookie 信息发送给其他人。但是,如果您清理内容,它将删除脚本。