那些遇到过的问题

为什么电子邮件不能直接加载图像

RJ.*_*RJ. 3 security email privacy image csrf

Gmail,yahoo,hotmail等电子邮件提供商不会直接在电子邮件中加载图片.这些服务要求您允许图像被加密.他们为什么这样做呢?是为了防止XSS/CSRF?

Sri*_*nan 5

两个原因 - 隐私和CSRF.

隐私

它允许发件人在我不知情的情况下弄清楚我是否打开了电子邮件.垃圾邮件发送者可以弄清楚他们的"营销"活动是否有任何影响.

CSRF

要使CSRF正常工作,受害者必须单击链接或访问攻击者页面.如果电子邮件客户端要自动显示图像,只需打开电子邮件即可启动CSRF攻击.

例如,假设paypal有一个csrf漏洞.还假设用户已登录到paypal.现在,攻击者向用户发送电子邮件<img src="http://paypal.com/transferfunds?fromAccount=victim&toAccount=attacker"/>.一旦用户打开电子邮件,资金就会被转移.

归档时间:

查看次数:

330 次

最近记录:

15 年 前
相关归档
SQL查询参数化如何工作? 33
只说"Mozilla/4.0"的用户代理是机器人,对吗? 16
iOS客户端,Facebook API和服务器之间的安全通信 16
不支持Driver []. - Laravel 5.3 15
浏览器和wget加载JPEG不同? 9
WCF服务无法通过MailDefinition发送邮件 6
Rails - 使用h()转义HTML并排除特定标记 5
某些图像文件类型是否始终与某些BufferedImage常量类型相对应? 4
IE6红十字和边框图像 3
python检查有效的电子邮件 2
难疑归档
如何在JavaScript中验证电子邮件地址? 4099
你如何获得JavaScript的时间戳? 3844
仅存储使用Git更改的多个文件中的一个文件? 2895
如何列出提交中的所有文件? 2619
JavaScript对象的长度 2224
什么是NullReferenceException,我该如何解决? 1876
Dockerfile中CMD和ENTRYPOINT有什么区别? 1484
SOAP与REST(差异) 1206
按列名从pandas DataFrame中删除列 1136
如何以CSV格式输出MySQL查询结果? 1118