Laden...
myCSharp Logo myCSharp Logo
Light
Dark
System
Login
Web-Technologien

Html-Mails in Web-Front-End

Erstellt von DerHulk vor 11 Jahren Letzter Beitrag vor 11 Jahren 896 Views
DerHulk Themenstarter:in
270 Beiträge seit 2005
Dabei seit: 23.12.2005
Wohnort/Region: Koblenz
Beiträge (270)
Private Nachricht schreiben
vor 11 Jahren
Melden
Permalink
Html-Mails in Web-Front-End

Hallo Forum,

ich überlege gerade wie man am besten Html-Mails in einem Web-Front-End(Mvc) bereitstellen soll. Problem ist ja das man nicht weis man erhält, sprich der Content immer gefährlich sein kann Stichwort(XSS) dazu müsste man ja den Content entsprechend parsen/encoden vor der ausgabe/einlesen. Styles will man ja behalten, daher würde man vermutlich einen Black oder White-List-Ansatz verfolgen. Von MS gibt es ja dazu die AntiXss-Library (mit Sanitaizer) die aber scheinbar nicht wirklich gut zu sein scheint (und nicht mehr supported wird)? Frage ist nun kennt jemand evtl. eine solche Library oder sollte man dann wirklich selber so was implementieren (so was will ja dann auch gepflegt werden)? Wie habt ihr so was (oder ähnliches z.B. bei WYSIWYG Editor) gelöst,

danke der Hulk

Abt
16.835 Beiträge seit 2008
Dabei seit: 20.07.2008
Beiträge (16.835)
Private Nachricht schreiben
vor 11 Jahren
Melden
Permalink

Wenn ich es richtig verstehe, dann bekommst Du E-Mails, die Du dann mit Deiner Webanwendung anzeigen möchtest...? Klar wird das aus Deinem Text nämlich nicht wirklich.

Im Prinzip kannst Du nie sicher gehen, was Du da von einem anderen alles so per Mail bekommst.
Bei WYSIWYG-Editoren ist es meist so, dass es eine Whitelist gibt; sprich es gibt erlaubte HTML Tags und erlaubte HTML Attribute. So kann man sehr viel "böses Zeugs" direkt rausfiltern - und so ein Vorgehen ist in meinen Augen auch das einzig "sichere".

OWASP hat da was: XSS (Cross Site Scripting) Prevention Cheat Sheet
Mit AntiXSS hab ich bereits schon mal gespielt; soll auch funktionieren und recht einfach zu bedienen sein (in Verbindung mit RAW Html) - aber über die Pflegezyklen kann ich nichts sagen.

- performance is a feature -

Microsoft MVP - @Website - @AzureStuttgart - github.com/BenjaminAbt - Sustainable Code

DerHulk Themenstarter:in
270 Beiträge seit 2005
Dabei seit: 23.12.2005
Wohnort/Region: Koblenz
Beiträge (270)
Private Nachricht schreiben
vor 11 Jahren
Melden
Permalink

Wenn ich es richtig verstehe, dann bekommst Du E-Mails, die Du dann mit Deiner Webanwendung anzeigen möchtest...? Klar wird das aus Deinem Text nämlich nicht wirklich.

Sorry, ja genau das ist der Sachverhalt. Problem das ich sehe ist das wenn man es ja selber implementiert ggf. nicht wirklich wiklich alle Angriffsszenarien berücksichtigen kann, ohne das man sehr viel Zeit in diese Komponente steckt, und wie gesagt sowas müsste dann auch noch gepflegt werden.

mfg Hulk

2003-2024 © myCSharp.de - Alle Rechte vorbehalten. Benutzerinhalte unterliegen cc-by-sa 4.0
Made with ♥ and ASP.NET Core - 2.1.146+a1519aa290