У меня есть клиент, чей сайт я создал с помощью Wordpress. У него есть контактная форма, созданная с контактной формой 7. Этот клиент является дочерней компанией более крупной организации, ИТ-отдел которой выполняет сканирование своих поддоменов. Попросил моего клиента защитить контактную форму 7 от вредоносных скриптов или снять ее.
Когда я спросил пример того, что они тестировали, мой клиент сообщил мне, что они запускают тесты, чтобы посмотреть, можно ли вставить скрипт в поле ввода (т. Е. <script>alert('hello');</script>) или в виде строки URL-адреса (т. Е. www.mydomain.com/contact?<script>alert('hello');</script>).
Со строкой запроса форма контакта устанавливает действие на: action="/?scriptalert('hello');/script#wpcf7-f1-p6-o1". Мой первый вопрос: повредит ли это чему-нибудь, так как "<" и ">" были удалены из строки?
Если да, могу ли я что-нибудь добавить, чтобы исключить возможность запуска сценариев в этой контактной форме?