Gmail 签名中的 Javascript 按钮

Question

Closed. This question is off-topic. It is not currently accepting answers.

---

想要改进此问题吗？更新问题，使其关于- Stack Overflow 的主题。

13 年前已关闭。

Answer 1

你不能。或者至少，我真的真的希望你不能。

JavaScript 不属于电子邮件。如果确实如此，那么人们可能会收到噩梦般的邪恶电子邮件，这些电子邮件会打开无限数量的警报，将其重定向到异地页面，阅读您的电子邮件和联系人列表，等等。允许在电子邮件中使用 JavaScript 会带来太多的安全影响。

出于这个原因，gmail 会阻止电子邮件中的 javascript，就像任何受人尊敬的电子邮件客户端所做的那样。

Answer 2

浏览器电子邮件客户端中显示的 Html 电子邮件将被删除所有 JavaScript，因此您可以尝试，但它不会工作。其他客户端，例如 Outlook（使用 MS Word 呈现 html）也剥离（或忽略？） javascript。这是一个允许它的漏洞。

想想这个场景：页面上的 javascript 具有进行 ajax 调用的完全访问权限。您可以使用 JS 遍历所有电子邮件和联系人等，然后将它们发送到外部服务器。

允许 JS 在电子邮件中运行就相当于允许 XSS。