在「Kobold letters: HTML emails are a risk (lutrasecurity.com)」這邊看到的 security advisory (算... 是吧?),原文在「Kobold Letters」這邊,如同標題寫的,方法其實意外的簡單...
Thunderbird 是透過 .moz-text-html>div>
指定就可以達到效果:
Outlook on the web (i.e. 雲端版本) 則是有在 id
上面增加隨機的 prefix 避免,但可以用 body>div>
避開,另外有些眉眉角角的地方會稍微複雜一點,但還是可行的:
而 Gmail 則是直接用個簡單的 css selector 掛上 display: none;
就 OK 了:在 sender 端 (轉寄者) 看不到,在 receiver 端則可以 (效果更好?):
比較慘的是目前大家都沒有想到比較好的解法,就算這次提到的方法被補上了,應該還是很容易被繞過去:
Unfortunately, for the foreseeable future, it is sadly not realistic to expect email clients to implement robust mitigation. This means that it is up to the users to be aware of the dangers of HTML emails and to take the necessary precautions.
另外文章裡面提到了 Can I email 這個網站,看起來如果要自己處理 email 內容的話是個不錯的資源...