У меня есть клиент, сайт которого я создал с помощью Wordpress. У него есть контактная форма, созданная с помощью контактной формы 7. Этот клиент является дочерней компанией более крупной организации, ИТ-отдел которой выполняет сканирование своих субдоменов. Мой клиент попросил защитить контактную форму 7 от вредоносных скриптов или удалить ее.
Когда я попросил привести пример того, что они протестировали, мой клиент сообщил мне, что они запускают тесты, чтобы увидеть, можно ли вставить скрипт в поле ввода (например, <script>alert('hello');</script>) или в виде строки URL-адреса (например, www.mydomain.com/contact?<script>alert('hello');</script>).
Со строкой запроса контактная форма устанавливает действие: action="/?scriptalert('hello');/script#wpcf7-f1-p6-o1". Мой первый вопрос: не повредит ли это чему-нибудь, поскольку из строки удалены «‹» и «>»?
Если да, могу ли я что-нибудь добавить, чтобы исключить возможность запуска скриптов в этой контактной форме?
