Codificación de contenido de correo electrónico HTML

3

Digo que tengo un formulario en mi sitio web.

Los elementos de entrada del formulario son: dirección de correo electrónico, nombre y algunos comentarios en el área de texto.

La aplicación del lado del servidor a la que se envía este formulario enviará un correo electrónico de tipo de contenido HTML a la dirección de correo electrónico que especifique y que proporcione todos los campos de entrada que especificó.

Por ejemplo

  

Hola {Nombre},

     

Gracias por tus comentarios. Sus comentarios fueron: {Comentarios}

     

El correo electrónico que proporcionaste es: {Email}

Mi pregunta es:

¿Debo codificar las variables {Nombre} y {Comentarios} en el correo electrónico? Dado el hecho de que ningún cliente de correo electrónico moderno actual o interfaz de correo web ejecutará ningún script o cargará recursos externos de forma predeterminada?

La razón por la que pregunto es porque informé de tal "problema" a una empresa pública muy grande. El ingeniero de seguridad con el que hablé me dijo que no se preocupan por esas cosas, y se espera que suceda este tipo de cosas.

Sugirió que es culpa del usuario no usar un cliente más seguro (si el cliente ejecuta el javascript).

Gracias.

    
pregunta Alexandru Luchian 05.12.2012 - 03:00
fuente

1 respuesta

3
  

¿Debo codificar las variables {Nombre} y {Comentarios} en el correo electrónico?

Sí, para ser correctos, incluso si no existe una amenaza práctica. Si el autor de la retroalimentación incluye un signo de menos del signo, debe aparecer en el correo como un signo de menos, y no debe tratarse como parte de una etiqueta de marca. Manejar la inyección de contexto de texto correctamente, obtener la pieza de seguridad gratis.

Los ataques que usan inyección de HTML son mucho más limitados en el correo que en una página web porque se supone que no hay un origen asociado con el remitente que pueda ser usurpado para obtener scripts entre sitios, si los scripts se ejecutan. / p>

Sin embargo, no solo se trata de JavaScript: la inyección de marcado aún le brindará la posibilidad de reformatear el correo en general. Por ejemplo, podría inyectar un enlace falsificado en lo que parece ser la parte del correo especificada por el remitente, o alguna marca con estilo para superponer contenido personalizado en todo el cuerpo del correo. Dependiendo de quién sea la Gran Empresa Pública, podría haber un mayor riesgo de phishing aquí.

    
respondido por el bobince 05.12.2012 - 03:25
fuente

Lea otras preguntas en las etiquetas