我在网站上使用Django Contact Form来允许访问者发送电子邮件。
目前,它正在转义字符,因此单引号和双引号分别转换为'和"。如果引号显示为'和",则电子邮件将更具可读性。
我理解为什么我永远不应该将访问者的非转义输入放入我的网页,因为xss的风险。电子邮件是否存在相同的风险,或者发送访问者未转义的输入是否可以?
答案 0 :(得分:5)
如果这些是HTML电子邮件,那么你不介意转义,所以我假设这些是纯文本?在这种情况下,您要禁用引用。您可以将模板的主体包装在
中{% autoescape off %}
...
{% endautoescape %}
留下你的角色。
答案 1 :(得分:0)
我仍然将它们编码为安全的。由于大多数电子邮件客户端都允许使用图片,因此无法阻止某人使用电子邮件中的img标记说...获取某人的IP地址。