Zpráva se snaží spustit skript, který je umístěn v jejím těle. Jde asi o nejjednodušší způsob útoku, který doufám neuspěje v žádném webmailu. Vývojáři by měli s tímto typem útoku počítat a měli by proti němu webmail v každém případě zabezpečit. Obrana bohužel není úplně nejjednodušší, protože v obsahu HTML zprávy chceme používání tagů povolit. Z tohoto důvodu není možné jednoduše filtrovat nebezpečné znaky, ale je nutné použít parser. Obsah zprávy by se měl překontrolovat a měli by se ponechat pouze ty tagy, které se nachází na bílém seznamu. Ostatní použité tagy by měli být odfiltovány a celý postup by se měl opakovat tolikrát, dokud neprojde obsah zprávy filtrem beze změny. Pokud by docházelo k filtrování na základě černých seznamů, mohlo by dojít k situace, že nám některá možnost unikne, nebo není v současné době známa. Stejně tak, pokud bychom prohnali zprávu filtrem pouze jednou, mohlo by dojít například k tomu, že by došlo vypuštěním nebezpečného tagu k automatickému vytvoření tagu nového, viz. příklad: <scr<script>ipt>
zdrojový kód zprávy
From: "TestMail" <testmail@soom.cz>
TO: [[zadaná adresa]]
SUBJECT: Test
MIME-version: 1.0
X-Priority: 3 (Normal)
Importance: Normal
return-Path: testmail@soom.cz
Reply-To: testmail@soom.cz
Content-Type: text/html; charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable
TESTMAIL
--------
<script>alert(1);</script>
|