我目前正在python中创建一个Web联系表单。我的主要目的是教自己python,我没有使用框架(只是原始的python)。我正在使用python 2.5,因为这就是我的webhost。
在python中发送电子邮件似乎很简单,documentation中很明显。我遇到的问题是,在使用smtplib等模块时,我找不到任何关于如何防止标头注入攻击的明确示例。
似乎有一件事情是正确的,但要通过python bugs我可以重现,看起来相当困难。有人可以帮忙吗?
答案 0 :(得分:0)
只需确保您的脚本在您所需的标头之后发送两个换行符(CRLF符合相关RFC,LF只符合大多数MTA),并且任何尝试的注入标头都会显示出来在电子邮件正文中。
当然,还要对from:,to进行健全性检查:以及用户输入的任何其他数据,以确保这些字段中没有嵌入的标题或换行符。