Digo que tengo un formulario en mi sitio web.
Los elementos de entrada del formulario son: dirección de correo electrónico, nombre y algunos comentarios en el área de texto.
La aplicación del lado del servidor a la que se envía este formulario enviará un correo electrónico de tipo de contenido HTML a la dirección de correo electrónico que especifique y que proporcione todos los campos de entrada que especificó.
Por ejemplo
Hola {Nombre},
Gracias por tus comentarios. Sus comentarios fueron: {Comentarios}
El correo electrónico que proporcionaste es: {Email}
Mi pregunta es:
¿Debo codificar las variables {Nombre} y {Comentarios} en el correo electrónico? Dado el hecho de que ningún cliente de correo electrónico moderno actual o interfaz de correo web ejecutará ningún script o cargará recursos externos de forma predeterminada?
La razón por la que pregunto es porque informé de tal "problema" a una empresa pública muy grande. El ingeniero de seguridad con el que hablé me dijo que no se preocupan por esas cosas, y se espera que suceda este tipo de cosas.
Sugirió que es culpa del usuario no usar un cliente más seguro (si el cliente ejecuta el javascript).
Gracias.