1
我有一個客戶,我的網站是用Wordpress創建的。它有一個通過聯繫表單7創建的聯繫表單。該客戶是IT部門在其子域上運行掃描的較大組織的子公司。要求我的客戶保護聯繫表格7免受惡意腳本的攻擊或關閉。保護聯繫表格
當我問他們測試了什麼樣的例子時,我的客戶告訴我他們運行測試以查看腳本是否可以插入輸入(即:<script>alert('hello');</script>)字段或url字符串(即:www.mydomain.com/contact?<script>alert('hello');</script>) 。
使用查詢字符串,聯繫表單將操作設置爲:action="/?scriptalert('hello');/script#wpcf7-f1-p6-o1"。我的第一個問題是,這會損害什麼,因爲「<」和「>」已從字符串中刪除?
如果是這樣,有什麼我可以添加刪除在此聯繫表格中運行腳本的可能性?