Ala*_*air 6 security email django xss
我在网站上使用Django联系表格,允许访问者发送电子邮件.
目前,它的转义字符,所以单引号和双引号转换为'和"分别.如果引号显示为'和,则电子邮件将更易读".
我理解为什么我永远不应该将访问者的非转义输入放入我的网页,因为xss存在风险.电子邮件是否存在相同的风险,或者发送访问者未转义的输入是否可以?
如果这些是HTML电子邮件,那么你不介意转义,所以我假设这些是纯文本?在这种情况下,您要禁用引用.您可以将模板的主体包装在中
{% autoescape off %}
...
{% endautoescape %}
Run Code Online (Sandbox Code Playgroud)
留下你的角色.