我在Codeigniter中有一个应用程序 - PHP显示来自电子邮件服务器的电子邮件内容。我正在iframe内显示该电子邮件。它很完美。
目前,由于某些原因,我默认启用了CSRF保护。但是当涉及到电子邮件时,我担心安全性,因为电子邮件来自系统外部。
我需要遵循哪些标准才能在网页上显示电子邮件吗?还有与此相关的任何安全问题吗?
另请注意,我对此做了很多搜索,但我找不到有关此问题的任何信息性文章。
请帮帮我。
感谢。
答案 0 :(得分:0)
没有问题。我的意思是,XSS关注的是提供安全性以形成子目标。
如果你的问题只与节目内容有关......那就不用担心了。
例如,xss直接在codeigniter表单中实现。它过滤所有输入。
答案 1 :(得分:0)
CSRF主要用于提交表单以确保其不从外部提交。由于您没有接受任何输入,CSRF不是问题。
但是当您显示电子邮件内容时,您可能会考虑将XSS清理干净。在您阅读电子邮件并直接显示到您的网站时,XSS clean删除任何不需要的内容。例如,电子邮件内容是一个脚本,可以将cookie信息发送给其他人。但是如果你清理你的内容,它将删除脚本。
答案 2 :(得分:0)
您必须首先了解CSRF的作用以及受害者如何受到此方法的攻击? CSRF是一次点击攻击。攻击者强迫用户更改密码或电子邮件等受害者的敏感信息,甚至不让他知道。与远程攻击不同,此攻击始终需要受害者的交互。您可以在iframe中打开URL,但这并不意味着该URL不受CSRF保护。 如果用户的输入是进入数据库并且没有CSRF保护,那么您必须为它做一些事情。否则你不需要紧张。