У нас есть корпоративный веб-сайт, который получает внешние электронные письма, обрабатывает их и показывает их в браузере пользователю. Мы будем показывать электронные письма в формате HTML, если они доступны в этом формате. Тем не менее, это в основном означает, что мы будем показывать сгенерированный пользователем HTML-код (насколько я знаю, вы можете отправить любой HTML-код по электронной почте).
Какие здесь риски безопасности? Какие шаги нужно предпринять, чтобы минимизировать эти риски?
В настоящее время я могу думать о:
- Удаление всего JavaScript
- Возможно удаление внешнего CSS? Не уверен, что это угроза безопасности
- Не загружать изображения (для ограничения отслеживания ... не уверен, представляет ли это угрозу безопасности или просто угрозу конфиденциальности)
Это все? Удаление тегов HTML всегда подвержено ошибкам, поэтому мне интересно, есть ли лучший способ как-то отключить внешние скрипты при отображении электронной почты?