Tweet
Die im Kontaktformular eingegebenen Daten sollen in einer nicht-HTML-Mail gesendet werden, so kann also (abgesehen von Header-Injection) keine Gefahr wie XSS im Mailclienten akut werden. Wäre es möglich, dass der Angreifer im Formular ein komplettes HTML Grundgerüst eingibt und somit sein bösartiger Code trotzdem aktiv wird im Mailclienten? Ich kann die Daten für die Mail ja vorher nicht mit htmlspecialchars() o.Ä. behandeln, sonst bekommt der Empfänge nur maskierte Zeichen zu sehen und strip_tags wollte ich aufgrund des Datenverlustes meiden.
-
-
Hallo,
wenn du den Content-Type-Header auf text/plain setzt, kann im Body stehen was möchte, es ist trotzdem nur Text und wird als solcher behandelt. Dass Outlook diesen Header ignoriert und seinen eigenen Quark machen könnte, kann ich leider nicht ausschließen.
Gruß,
Amica[COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
[/COLOR] -
Genau so etwas hatte ich befürchtet, aber letztendlich habe ich außer einer HTMl Mail keine Alternativen oder?Kommentar
-
Ich würde es trotzdem einfach als text/plain ausliefern. Mein Seitenhieb auf Outlook muss sich ja nicht bewahrheiten, ich habe das Ding nur schon Sachen machen sehen, die absolut nicht RFC-konform sind.
Am Ende ist es das Problem der Outlook-Nutzer, wenn ihr „E-Mail-Client“ in einer Reintext-E-Mail irgendwelche Teile als HTML interpretiert. Aber wie gesagt, das ist meinerseits reine Spekulation.[COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
[/COLOR]Kommentar
Moderatorin
Kommentar