在我们公司的后端,我们正在编程一个页面以查看收到的电子邮件。
我们希望保护我们的用户免受电子邮件发件人的跟踪,因此显示的HTML不应加载图像,JavaScript,远程CSS等。
最初的想法是通过设置某种“窗口式/沙盒式”查看器来保护远程内容(我们所有的代理都在受控版本中使用Thunderbird,因此我们不需要为所有浏览器通用地编码)。
尽管如此,这似乎是不可能的。根据这个问题How can I prevent an iframe displaying an email to load images and other email trackers?,我们无法阻止浏览器加载它,因此我们必须预先准备HTML。
我应该剥离哪些标签?
我想知道是否有HTML标记的“封闭列表”可以强制远程加载内容。
例如,很明显,电子邮件中的所有JavaScript都将被删除。同样,我们将删除所有<IMG>标签,以防止src=属性进行远程调用。是的,我们知道,如果没有精美的图片,电子邮件看起来会很丑陋,但是我们需要防止跟踪“制作精美的显示”。
[我们知道我们可以丢弃电子邮件的HTML版本并坚持使用文本版本。
但是有些发件人只发送HTML而不是文本+ HTML。我们希望保留“一些格式”(字体大小,颜色,表格,粗体,斜体等),并且我们同意“杀死”某些东西,例如远程样式(仅允许本地样式),远程图像等。] >
我们想知道是否...
[a),我们需要自行调查要删除的标签和HTML内剩余的标签
或b)有一个已知的封闭列表,该列表表明“可能导致远程加载的HTML元素就是”。
在我们公司的后端,我们正在编程一个页面,以查看收到的电子邮件。我们想保护我们的用户免受电子邮件发件人的跟踪,因此显示的HTML不应加载图像,...
好消息是,您不必担心iframe或javaScript,因为大多数电子邮件客户端都将它们都禁用了。
禁用图像的问题是某些电子邮件中的内容仅包含在图像中。