Ce que je veux exposer ici est une question que je me pose.
Je développe actuellement un petit site vitrine fait maison en HTML et CSS avec un peu de Javascript.
Ce dernier nécessite un formulaire de contact.
J'aimerai savoir si en dehors d'un captcha pour bloquer spams et robots, est-il vraiment nécessaire de sécuriser un tel formulaire avec une validation des entrées et des failles XSS et possibles injections ?
Aucune des informations reçues ne sera enregistrées dans une base de données.
Hello :)
Alors les liens mailto sont générés coté client, ce qui fait que un pirate peut manipuler comme il veut le contenu de ton mail pour t'envoyer des trucs louches, le danger se fait au moment où tu ouvres le mail, mais du coté du site pas de danger vu que tout se fait coté client
Sinon tu peux regarder les failles qui existent par rapport aux mailto (bon c'est un pavé de lignes pas agréable à lire, mais au moins tu as TOUTES les failles connues des mailto ^^')
Il faudrait donc à minima passer par une validation du formulaire via un script PHP par exemple, non ?
Merci pour l'info sur le "mailto", je ne savais pas qu'il y avait autant de failles ^^'.
Salut.
Il faudrait donc à minima passer par une validation du formulaire via un script PHP par exemple, non ?
Tout à fait. Faire que la validation du formulaire ainsi que l'envoi d'e-mail (pour t'envoyer le contenu du formulaire) se fasse du côté serveur où tu peux vérifier et nettoyer les données avant de les inclure dans un e-mail est beaucoup mieux qu'un mailto.
C'estt très vieux le mailto :p
Oui le mieu c'est de passer coté serveur et utiliser le mail PHP, et la bon faut juste couvrir les failles classiques de PHP (ou alors passer par un framework comme ça la partie sécurité est déjà gérée :p)