2
Я попытался отправить html/JS-код в качестве тела электронной почты. В идеале любой наивный веб-клиент/браузер будет читать его вместе с другим HTML/JS на странице и выполнять его.Выполнение Javascript в теле письма
Но я считаю, что yahoomail, gmail и другие популярные почтовые клиенты позаботятся об этой возможности.
Опыт: Я экспериментировал с отправкой оповещения из тела электронной почты. Но я просто могу видеть текст.
Как разработчик, мне было интересно, какие элементы помогают клиенту идентифицировать этот код HTML/JS, отличный от других обычных на странице. Я считаю, что с ним должен быть связан определенный элемент безопасности. Есть ли некоторые статьи, в которых подробно объясняются эти эффекты?
[Как предотвратить атаки Javascript в пользовательский HTML] (http://stackoverflow.com/questions/942011/how-to-prevent-javascript-injection-attacks-within-user-generated-html) –
Связанный: http://stackoverflow.com/questions/28301617/sanitize-all-scripts-from-html-string/28320744#28320744 - Если вы пишете почтовый клиент, вам необходимо убедиться, что вы удаляете какие-либо элементы что может позволить скрипты. Также рекомендуется указывать политику безопасности контента (CSP), чтобы предотвратить выполнение браузером каких-либо сбоев в сети (так работает Gmail). – SilverlightFox