メールサーバーからのメールコンテンツを表示するCodeigniter-PHPのアプリがあります。内の電子メールを表示していますiframe。それは完璧に機能します。
現在、何らかの理由でデフォルトでCSRF保護が有効になっていません。しかし、メールに関しては、システム外からメールが来るのでセキュリティが心配です。
Web ページにメールを表示するために従わなければならない標準はありますか? また、これに関連するセキュリティ上の問題はありますか?
また、これに関して多くの検索を行いましたが、問題に関する有益な記事を見つけることができなかったことにも注意してください.
私を助けてください。
ありがとう。
You must 1st learn that what actually CSRF does and how a victim can be attacked by this method? CSRF is 1 click attack. The attacker forces a user to change the sensitive information of victim like password or email without even letting him know. This attack always require victim's interaction unlike remote exploits. You can open URL in iframe but that does not mean that URL is not protected by CSRF. If user's input is going to database and there is no CSRF protection then you must do something for it. Otherwise you don't need to be tensed.
CSRFは主に、フォームが送信されたときに、外部から送信されていないことを確認するためのものです。入力を取得していないため、CSRF は問題ではありません。
しかし、電子メール コンテンツを表示している場合は、XSS クリーンを実行することを検討してください。XSS clean では、電子メールを読んでサイトに直接表示する際に、不要なものをすべて削除します。たとえば、電子メールのコンテンツはスクリプトであり、Cookie 情報を他のユーザーに送信できます。ただし、コンテンツをクリーンアップすると、スクリプトが削除されます。
それについては問題ありません。つまり、XSS はフォーム送信にセキュリティを与えることに関心があります。
番組内容のみのご質問でしたら・・・ご心配なく。
たとえば、xss は codeigniter 形式で直接実装されます。すべての入力をフィルタリングします。