Gmail、yahoo、hotmail 等电子邮件提供商不会直接在电子邮件中加载图像。这些服务要求您允许加载图像。他们为什么这样做呢?是为了防止 XSS/CSRF 吗?
问问题
399 次
3 回答
5
两个原因 - 隐私和 CSRF。
隐私
它允许发件人在我不知情的情况下确定我是否打开了电子邮件。垃圾邮件发送者可以弄清楚他们的“营销”活动是否产生了任何影响。
CSRF
要使 CSRF 工作,受害者必须单击链接或访问攻击者页面。如果电子邮件客户端要自动显示图像,只需打开一封电子邮件就足以发起 CSRF 攻击。
例如,假设 paypal 有一个 csrf 漏洞。还假设用户已登录到贝宝。现在,攻击者向用户发送一封带有<img src="http://paypal.com/transferfunds?fromAccount=victim&toAccount=attacker"/>. 一旦用户打开电子邮件,资金就会被转移。
于 2010-08-31T10:47:56.587 回答
2
因为这允许(潜在的敌对发件人的)服务器知道电子邮件已收到。
于 2010-08-31T09:04:55.807 回答
0
许多垃圾邮件通过在内容中嵌入恶意图像来使用图像来识别有效的邮件地址。例如:
<img src="http://example.com/validImage.png?mail=toto@example.com" />
于 2010-08-31T09:06:27.837 回答