3
我目前正在研究一個應用程序,其中包括在網絡gui中顯示電子郵件的功能,現在我想知道什麼是在Web瀏覽器中顯示電子郵件的最佳做法,首先我雖然應該使用iframe,但是當看在主要Web郵件客戶端的源代碼中,他們似乎並沒有使用iframe,所以這就是我在這裏問的原因。我擔心郵件中的樣式和腳本會影響我網站的其他部分(也稱爲xss),但我仍然希望電子郵件按照它們的顯示方式顯示。如何以安全的方式安全地在瀏覽器中顯示電子郵件?
A
回答
5
主要(網絡)郵件客戶端將刪除您的代碼的一些部分。 像表格背景圖像,適用於身體標籤的樣式,刪除javascript等 他們這樣做,以確保它不會影響他們自己的設計和功能。
你必須這樣做。
你肯定會有一個div,你把你清理的郵件正文。 如何清理電子郵件正文取決於您同意允許的內容...
它們通常會過濾來自CSS和郵件正文的任何遠程URL以及腳本標記以防止CSRF和XSS攻擊。這意味着「沒有圖像」。但是,他們通常會在發出可能的有害影響警告後離開按鈕以啓用它們。 – Slava 2011-03-28 15:45:00
是否有任何好的庫/類已經可以輕鬆處理這些問題或者我應該從頭開始?如果風格標籤包含與我的風格相沖突的風格,那麼風格標籤又不會導致問題呢? – Hultner 2011-03-28 18:38:30
關於css刪除,類定義通常會被刪除(例如