Pautas para prevenir la inyección de HTML [cerrado]

0

En nuestro sitio web tenemos una función para decirle a un amigo donde presentamos un formulario para que el usuario reciba un correo electrónico y un mensaje personal. El mensaje personal se agrega a nuestra plantilla de correo electrónico. El correo electrónico se envía en nombre de nuestro sitio web. Nuestro formulario se ve así

¿Qué controles debemos realizar para garantizar que una persona malintencionada no pueda piratearlo y utilizarlo para su propia publicidad o algo más?

Recientemente, tuvimos un caso de fraude por correo electrónico en el que un usuario malintencionado pudo inyectar un código html en el cuadro de entrada provisto para escribir un mensaje personal. El correo electrónico recibido contenía una plantilla de correo electrónico totalmente nueva (y nuestra plantilla en la parte inferior) y enlaces HTTP a otros sitios.

Por favor agregue a los siguientes puntos

  1. Verificación de expresiones regulares para URL y URL de no envío
  2. ?
pregunta Shwetabh Shekhar 23.02.2017 - 18:57
fuente

2 respuestas

1

Es bastante simple (en teoría):

  • Escapa siempre de la entrada proporcionada por el usuario
  • Siempre huye en el tiempo de visualización. Esto evita problemas en los que ha escapado algo para el tipo de contenido incorrecto y le permite tapar los agujeros descubiertos sin tener que escribir una migración para datos antiguos.
respondido por el Xiong Chiamiov 23.02.2017 - 23:51
fuente
0

Pregunta muy vaga, pero si desea una manera segura de evitar que gmail muestre el texto ingresado en el cuadro de mensaje como html, puede cambiar el tipo de contenido de html a texto sin formato. Si esto es lo que está buscando, puedo explicarlo.

    
respondido por el MikeSchem 23.02.2017 - 22:36
fuente

Lea otras preguntas en las etiquetas