如何在不暴露 XSS 漏洞的情況下安全地從客戶端發送電子郵件?
[英]How to securely send an e-mail from client without exposing an XSS vulnerability?
問題描述
我們有一個可以被視為遺留的業務應用程序。 作為此應用程序的一部分,用戶可以使用我們的一個企業電子郵件帳戶向他們的客戶發送郵件。 郵件內容以 html 格式直接發送到服務器,並使用白名單進行清理。
然而,我們的客戶希望安裝一個 WAF 來阻止幾乎所有的 html 標簽到達服務器。 這意味着即使我們要對文件進行編碼,諸如 br、b 或 img 之類的標簽也會被阻止。 經過大量的后端,最終留給我們來規避這個問題。 我們如何改變這個系統,使它不使用 html 標簽,即使是編碼形式? WAF 甚至阻止了這些的 lt gt 形式。
作為參考,我們使用 java 8 和 javascript 1.7。
1 個解決方案
解決方案1
1 已采納 2022-06-20 11:57:33
使用AWS WAF V2並通過規則構建器向導定義所需的WAF 規則。 文本轉換規則語句(例如 HTML 實體解碼)與跨站腳本攻擊規則語句無關。 通常不建議拆除安全措施,同時不知道實際在做什么。 使用兩個單獨的主機名可能更容易區分這些請求,以便應用兩個不同的規則集; 看看標簽是如何工作的。
我的意思是,您可以從應用程序中刪除該 HTML 實體白名單,然后將其聲明為 WAF 規則語句 - 然后 WAF 會在請求到達服務器之前對其進行清理。 安裝WAF是沒有意義的,但不配置和使用它。
Outlook 2010:如何從 VBScript/JScript 撰寫電子郵件
[英]Outlook 2010: How to compose e-mail from VBScript/JScript
如何防止 Firefox 使用電子郵件自動填充用戶名輸入?
[英]How to prevent firefox from autofilling username input with e-mail?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.