如何在Web應用程序中顯示HTML電子郵件？

Question

我寫了一個Web應用程序，通過IMAP獲取電子郵件。我現在需要顯示這些郵件給用戶。 我認爲這將是簡單的（我在顯示HTML的瀏覽器中的HTML），直到我看着這有點...並發現有噸問題，如：

• 的Javascript &安全
• 風格打破
• 當然更

是否有一個良好的，安全如何顯示HTML電子郵件？即使我不想僅顯示電子郵件的文本版本（甚至不能保證在那裏......）

我意識到了「安全」而不是「華麗」最明顯的答案是「把所有東西放在一個框架中」 - 這是否真的如此？ 實際上是嗎？

我使用節點服務器端是否有幫助？

Answer 1

..most答案顯然是「把一切都在一個框架」 ... ...它實際上工作？

是，例如， Whiteout Networks GmbH's WHITEOUT.IO它在/src/tpl/read.html和/src/js/controller/read-sandbox.js。是一些安全問題，通過DOMPurify

處理..there噸issues..Is的有一個良好的，安全方式..？

我知道下名字EML或MHTML消息數據格式也因此尋找一個好「XY到HTML轉換器」或「與XY支持HTML5文檔查看器」可能會指向你一個有用的結果（例如GroupDocs.Viewer ）

一些電子郵件客戶端（例如Gmail帳戶）不使用iframe，相反，他們使用郵件分析器（如andris9/mailparser）和HTML解析器（如cheeriojs/cheerio）提取電子郵件安全HTML的子集（對於一些示例，參見Stack Overflow: What guidelines for HTML email design are there?和Stack Overflow: Styling html email for GMail）或使用HTML sanitizer（例如Google's Caja,cure53/DOMPurify）並將代碼直接嵌入到頁面中。

但它並不總是一件容易的事情，有什麼構成的電子郵件安全HTML的子集，你肯定不慣於內聯可能受感染的附件，也沒有內secured用戶的運行匿名CORS腳本沒有達成共識會話。

無論如何，一如既往地研究各種電子郵件客戶端的源代碼（見Wikipedia: Comparison of email clients）是找到出路..只要提到谷歌的卡哈HTTPS