Debe codificar en URL SEARCHED_QUERY_HERE
; de lo contrario, si un usuario busca &body=something
, el cuerpo del mensaje de correo electrónico se configurará en something
. Además, si no lo codifica con URL, si el usuario busca un %20
(o similar) literal, aparecerá como un espacio en el mensaje.
Sin embargo, esto no es un riesgo de seguridad.
El otro riesgo obvio es que si no codifica correctamente el SEARCHED_QUERY_HERE
en HTML, esto llevará a XSS. Pero parece que ya lo estás haciendo, así que estás cubierto.
Algunos lenguajes de programación, como PHP, requieren que especifique explícitamente que las comillas también deben estar codificadas, así que asegúrese de pasar los argumentos correctos a su función de codificación HTML.
Ejemplo (PHP)
echo '<a href="mailto:[email protected]?subject='.htmlspecialchars(rawurlencode(SEARCHED_QUERY_HERE), ENT_QUOTES, 'utf-8') .'>Link</a>';