发送电子邮件时是否需要转义字符?

时间:2009-09-11 18:01:50

标签: django security email xss

我在网站上使用Django Contact Form来允许访问者发送电子邮件。

目前,它正在转义字符,因此单引号和双引号分别转换为'"。如果引号显示为'",则电子邮件将更具可读性。

我理解为什么我永远不应该将访问者的非转义输入放入我的网页,因为xss的风险。电子邮件是否存在相同的风险,或者发送访问者未转义的输入是否可以?

2 个答案:

答案 0 :(得分:5)

如果这些是HTML电子邮件,那么你不介意转义,所以我假设这些是纯文本?在这种情况下,您要禁用引用。您可以将模板的主体包装在

{% autoescape off %}
...
{% endautoescape %}

留下你的角色。

答案 1 :(得分:0)

我仍然将它们编码为安全的。由于大多数电子邮件客户端都允许使用图片,因此无法阻止某人使用电子邮件中的img标记说...获取某人的IP地址。