我最近发现了一个网站,其中的电子邮件地址包含在html表单中的隐藏标签中。这是一个不好的做法,为什么除了窃取邮件地址?
答案 0 :(得分:4)
这是一种不好的做法。
恶意用户可以使用Firebug之类的工具来更改隐藏字段的内容 然后,他可以使用您的表单发送垃圾邮件或发送匿名电子邮件,例如。
答案 1 :(得分:2)
使用会话来存储特定用途的电子邮件值是一种替代方法。
答案 2 :(得分:2)
据推测,名为“to”的字段包含所联系组织的电子邮件地址。由于这不会因客户而异,因此不应成为表格的一部分;它应该是表单目标脚本的一部分。
即使“to”电子邮件有些变化(例如网站管理员,技术服务,销售,投诉部门等的有限列表),表单也不应包含目标电子邮件。它应包含一个下拉发送到列表,其中选项值是整数,脚本使用这些整数来确定哪个电子邮件地址是合适的。除了安全问题之外,可以从阵列中轻松生成类似于所描述的选项列表。因此,您可以轻松更改电子邮件列表。
保持联系表单中的电子邮件地址有助于防止盗用您的表单进行垃圾邮件。它还可以保护您的电子邮件地址免受网络破坏者的侵害。
答案 3 :(得分:1)
这只是一种跟踪某处必须要求的电子邮件地址的方法。由于他们不能自己弄清楚你的电子邮件地址,我想你之前已经在系统中输入了它,所以我不会称之为偷窃。
至于实践,我不是隐藏领域的忠实粉丝,因为它们很容易改变,但如果需要它可以完成工作。当然,您需要在后端对所有类型的数据进行验证,将隐藏字段视为用户输入。
答案 4 :(得分:0)
哪个电子邮件地址?
表单将提交的电子邮件地址?它不是很干净,但没有什么可怕的。 (如果服务器端表单处理程序没有根据白名单检查电子邮件地址,那么它是垃圾邮件中继的邀请, 可怕>。
用户在上一页输入的电子邮件地址?没有问题,这只是维持状态,并且它不会被盗 - 只有首先输入它的用户才能看到它。(这一半的答案被删除以回应评论)< / p>