为什么javascript不在电子邮件中执行?
我发送了一封带有javascript的邮件到somemail@gmail.com,html部分正在工作,我可以看到按钮。但当我点击按钮并试图调用内部函数时,我无法这样做为什么javascript不在电子邮件中执行?,javascript,email,Javascript,Email,我发送了一封带有javascript的邮件到somemail@gmail.com,html部分正在工作,我可以看到按钮。但当我点击按钮并试图调用内部函数时,我无法这样做 gmail如何阻止我的js脚本? 很高兴看到gmail在任何gmail客户端中阻止javascript,好吧,他们现在有了很好的安全性,但是这是怎么发生的呢?在我的原始邮件(附在下面)中,服务器没有剥离js脚本,它只是传递给客户端(在我的例子中是chrome),客户端不执行。客户端是否维护了一个列表,其中必须执行js,而不能执行
Gmail.com
(或其他谷歌域名)发送到浏览器。如果在页面中留下了任何JavaScript,那么它将从那个原点运行——浏览器会认为Gmail可以信任脚本,这将是一个可怕的安全漏洞。
利用此漏洞的一个简单示例是JavaScript获取页面的innerHTML
(其中包含大量帐户信息),使用DOM生成
,然后将所有数据提交给攻击者的服务器
更复杂的攻击将使用XHR遍历整个电子邮件帐户,并复制每个邮件的详细信息
或者它可能使用该帐户发送电子邮件
或者其他很多事情。从这里开始:谢谢,确实很有帮助。但愿我能投票赞成这个答案