En nuestro sitio web tenemos una función para decirle a un amigo donde presentamos un formulario para que el usuario reciba un correo electrónico y un mensaje personal. El mensaje personal se agrega a nuestra plantilla de correo electrónico. El correo electrónico se envía en nombre de nuestro sitio web. Nuestro formulario se ve así
¿Qué controles debemos realizar para garantizar que una persona malintencionada no pueda piratearlo y utilizarlo para su propia publicidad o algo más?
Recientemente, tuvimos un caso de fraude por correo electrónico en el que un usuario malintencionado pudo inyectar un código html en el cuadro de entrada provisto para escribir un mensaje personal. El correo electrónico recibido contenía una plantilla de correo electrónico totalmente nueva (y nuestra plantilla en la parte inferior) y enlaces HTTP a otros sitios.
Por favor agregue a los siguientes puntos
- Verificación de expresiones regulares para URL y URL de no envío
- ?