1
私はWordpressで作成したウェブサイトのクライアントを持っています。コンタクトフォーム7で作成されたコンタクトフォームがあります。このクライアントは、IT部門がサブドメイン上でスキャンを実行する大規模な組織の子会社です。連絡先フォーム7を悪意のあるスクリプトから保護するか、取り除くように頼まれたクライアント。連絡先フォームを保護する
テストした内容の例を尋ねたところ、クライアントはテストを実行してスクリプトを入力(つまり<script>alert('hello');</script>)フィールドまたはURL文字列(つまりwww.mydomain.com/contact?<script>alert('hello');</script>)に挿入できるかどうかを確認しました。 。
問い合わせ文字列を使用すると、連絡先フォームはアクションをaction="/?scriptalert('hello');/script#wpcf7-f1-p6-o1"に設定します。私の最初の質問は、 "<"と ">"が文字列から削除されているので、これを害するでしょうか?
もしそうなら、この連絡先フォームでスクリプトを実行する可能性を排除するために追加できるものはありますか?