直截了当地查看,我如何通过电子邮件表单阻止SQL注入或CSRF?
用户将填写一个电子邮件表单,其中包含各种字段。然后,表单将向网站管理员发送一封电子邮件,然后将其添加到数据集和数据库中。我对此进行了检查,但是根本没有任何安全性。
因此,为了澄清,电子邮件表单构建了一封电子邮件,并将电子邮件发送给网站管理员。
答案 0 :(得分:2)
好的,所以你担心,为了论证的缘故,坏人把一些JS放在表单字段中,你不只是想在你的电子邮件正文中输出那个JS,因为它可能会在你的电子邮件中执行收件人打开电子邮件时的机器?
我怀疑你想要@ encodeForHtml()及其同类。这将逃避任何可以解释为HTML的东西,因此它只是作为内容输出,而不是被解析。
答案 1 :(得分:0)
JavaScript无法在电子邮件中执行。不允许。 CSS可以,有点。