gpt4 book ai didi

security - 为什么电子邮件不直接加载图像

转载 作者:行者123 更新时间:2023-12-02 21:46:55 24 4
gpt4 key购买 nike

Gmail、yahoo、hotmail 等电子邮件提供商不会直接在电子邮件中加载图像。这些服务要求您允许加载图像。他们为什么这样做呢?是为了防止XSS/CSRF吗?

最佳答案

两个原因 - 隐私和 CSRF。

隐私

它允许发件人在在我不知情的情况下知道我是否打开了电子邮件。垃圾邮件发送者可以弄清楚他们的“营销”事件是否产生了任何影响。

CSRF

要使 CSRF 发挥作用,受害者必须单击链接或访问攻击者页面。如果电子邮件客户端自动显示图像,只需打开一封电子邮件就足以发起 CSRF 攻击。

例如,假设 paypal 有一个 csrf 漏洞。还假设用户已登录 PayPal。现在,攻击者向用户发送一封包含 <img src="http://paypal.com/transferfunds?fromAccount=victim&toAccount=attacker"/> 的电子邮件。一旦用户打开电子邮件,资金就会被转移。

关于security - 为什么电子邮件不直接加载图像,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3607518/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com