Gmail,yahoo,hotmail等电子邮件提供商不会直接在电子邮件中加载图片。这些服务要求您允许图像被加密。他们为什么这样做呢?是为了防止XSS / CSRF吗?
答案 0 :(得分:5)
两个原因 - 隐私和CSRF。
隐私
它允许发件人弄清楚我是否已经打开了电子邮件,在我不知情的情况下。垃圾邮件发送者可以弄清楚他们的“营销”活动是否有任何影响。
<强> CSRF
要使CSRF正常工作,受害者必须单击链接或访问攻击者页面。如果电子邮件客户端要自动显示图像,只需打开电子邮件就足以启动CSRF攻击。
例如,假设paypal有一个csrf漏洞。还假设用户已登录到paypal。现在,攻击者向用户发送了一封<img src="http://paypal.com/transferfunds?fromAccount=victim&toAccount=attacker"/>的电子邮件。一旦用户打开电子邮件,资金就会被转移。
答案 1 :(得分:2)
因为这允许(可能是恶意的发件人)服务器知道收到的电子邮件。
答案 2 :(得分:0)
许多垃圾邮件通过在内容中嵌入恶意图像来使用图像来识别有效的电子邮件地址。例如:
<img src="http://example.com/validImage.png?mail=toto@example.com" />