我在Codeigniter - PHP中有一个应用程序,它显示来自电子邮件服务器的电子邮件内容。我在iframe内显示电子邮件。它工作完美。
目前,由于某些原因,我没有默认启用 CSRF 保护。但是当涉及到电子邮件时,我担心安全性,因为电子邮件来自系统外部。
在网页上显示电子邮件需要遵循任何标准吗? 还有与此相关的安全问题吗?
另请注意,我对此进行了多次搜索,但我找不到有关该问题的任何信息性文章。
请帮助我。
谢谢。
没有问题。我的意思是,XSS关注的是给表单提交提供安全性。
如果您的问题仅与显示内容有关...没有什么可担心的。
例如,xss 直接以编码点火器形式实现。它过滤所有输入。
CSRF 主要用于提交表单以确保它不是从外部提交的。由于您没有接受任何输入,因此CSRF不是问题。
但是,当您显示电子邮件内容时,您可以考虑将XSS清理干净。XSS清理的地方删除任何不需要的内容,因为您正在阅读电子邮件并直接显示在您的网站。例如,电子邮件内容是一个脚本,可以将 Cookie 信息发送给其他人。但是,如果您清理内容,它将删除脚本。
您必须首先了解CSRF实际上做了什么以及该方法如何攻击受害者?CSRF 是一键式攻击。攻击者强迫用户更改受害者的敏感信息,例如密码或电子邮件,甚至不让他知道。与远程攻击不同,这种攻击始终需要受害者的交互。您可以在 iframe 中打开 URL,但这并不意味着该 URL 不受 CSRF 保护。如果用户的输入将进入数据库并且没有CSRF保护,那么您必须为此做点什么。否则你不需要紧张。