4
我想知道一個電子郵件地址是否可用於XSS攻擊。是否可以通過電子郵件地址進行XSS攻擊?
假設有一個網站可以註冊並給出他的電子郵件地址。如果一個人想攻擊特定網站,他或她可能會創建一個電子郵件地址,像這樣的:
"<script src=//my.evil.site/is/attacking/u.js></script>"@stmpname.com
,然後使用這個電子郵件地址來攻擊網站。
是否允許在電子郵件地址中使用引號或腳本標記?
這取決於有問題的應用程序如何清理用戶輸入。是的,您的案例中的電子郵件地址不過是用戶輸入。根據你解析和顯示的方式,你可能會很脆弱。 – devnull
但我的問題是:這種類型的輸入是否有效?有人可以有這樣的電子郵件地址嗎?如果可以有這樣一個電子郵件地址,那麼我們必須注意我們展示它的每個點。如果沒有,那麼我們只寫一個不接受這種電子郵件地址的驗證器。 –