我有一个按钮,可以将div作为html发送到网站上的电子邮件。
我想避免仅使用关联的变量来重建html,但是我认为这样做的风险是因为有人可以向我的php脚本发送任何内容。
删除<script>标签就足够了吗?
这是我获取和发送电子邮件的方式:
$subject = 'Some title';
$message = $html_mail;
$headers = 'MIME-Version: 1.0' . "\r\n";
$headers .= 'Content-type: text/html; charset=utf-8' . "\r\n";
$headers .= 'To: '. $to . "\r\n";
$headers .= 'From: My name <'.$admin_mail.'>' . "\r\n";
$response = mail($to, $subject, $message, $headers);
答案 0 :(得分:1)
几乎所有的电子邮件客户端(例如gmail,yahoo,outlook,雷鸟,邮件等)都根本不运行javascript。默认情况下,禁用Javascript和其他脚本。因此<script>标签完全没有安全威胁。但是,如果处理不当,用户可能会在HTML电子邮件中嵌入的辱骂性语言或图像可能是一个严重问题。如果您认为您的用户很老练,但事实并非如此,那就不用担心了。