Существует ли закрытый список тегов HTML и стилей CSS, которые могут загружать удаленный контент? - PullRequest
Новая
       9

Существует ли закрытый список тегов HTML и стилей CSS, которые могут загружать удаленный контент?

1 голос
/ 27 февраля 2020

В бэкэнде нашей компании мы программируем страницу для просмотра полученных писем.

Мы хотим защитить наших пользователей от отслеживания отправителями электронной почты, поэтому отображаемое HTML не должно загружать изображения, javascripts , удаленный CSS и т. д.

Расследование

Первоначальная идея состояла в том, чтобы защитить удаленный контент, настроив какой-либо вид «оконного / песочничного» средства просмотра (все наши агенты используют Thunderbird в контролируемая версия, поэтому нам не нужно кодировать ее для всех браузеров).

Тем не менее, это кажется невозможным. В соответствии с этим вопросом Как я могу предотвратить отображение в iframe электронного письма для загрузки изображений и других трекеров электронной почты? мы не можем запретить браузеру загружать его, поэтому мы должны предварительно проанализировать HTML.

Вопрос

Какие теги я должен удалить?

Интересно, существует ли «закрытый список» тегов HTML, который мог бы вызвать удаленную загрузку контента.

Например, ясно, что любые javascript из письма будут удалены. Таким же образом мы удалим все теги <IMG>, не позволяющие атрибуту src= сделать удаленный вызов. Да, мы знаем, что электронные письма будут выглядеть безобразно без причудливых изображений, но мы должны защищать от отслеживания «создания хорошего классного дисплея».

Уже исследовано

Мы знаем, что можем отказаться HTML версия электронного письма и придерживаться текстовой версии.

Но есть отправители, которые отправляют только HTML вместо текста + HTML. Мы хотели бы сохранить «немного форматирования» (размеры шрифтов, цвета, таблицы, полужирный шрифт, курсив и т. Д. c), и мы согласны «убить» некоторые вещи, такие как удаленный стиль (разрешить только локальный), удаленные изображения, et c.

Нам интересно, если ...

либо а) нам нужно провести собственное расследование относительно тегов, которые необходимо удалить, и тегов, которые следует оставить внутри HTML

или либо б) существует какой-либо известный закрытый список, говорящий «элементы HTML, которые могут вызывать удаленную загрузку, - это то и это».

Редактировать

Как отмечено @NevNein, есть вещи, не связанные с тегами, которые могут инициировать удаленные вызовы, например, <div style="background-image: url('https://some.tracking.link')"></div>

Поэтому вопрос расширен:

Есть ли закрытый список html - теги и css стилей, которые могут запускать удаленные вызовы в браузере?

1 Ответ

0 голосов
/ 27 февраля 2020

Хорошая новость заключается в том, что вам не нужно беспокоиться о iframe или javaScript, так как большинство почтовых клиентов отключают их обоих.

Проблема с отключением изображений может заключаться в том, что некоторые электронные письма содержат контент, который только на изображении.

Несколько тегов для удаления будут включать link img background-image background. Хорошее руководство по тому, какие теги поддерживаются почтовыми клиентами, можно найти по адресу: https://www.campaignmonitor.com/css/

...