我有一个客户端,我用Wordpress创建了他们的网站。它具有使用联系表单7创建的联系表单。此客户端是IT部门在其子域上运行扫描的大型组织的子公司。要求我的客户保护Contact Form 7免受恶意脚本的攻击或将其删除。
当我询问他们测试的示例时,我的客户告诉我他们运行测试以查看脚本是否可以插入输入(即:<script>alert('hello');</script>)字段或作为网址字符串(即:www.mydomain.com/contact?<script>alert('hello');</script>)。
使用查询字符串,联系表单将操作设置为:action="/?scriptalert('hello');/script#wpcf7-f1-p6-o1"。我的第一个问题是,自“&lt;”以来,这会伤害到什么和“&gt;”已从字符串中删除?
如果是这样,我可以添加任何内容来删除在此联系表单中运行脚本的可能性吗?
答案 0 :(得分:2)
HTML编码是防止任何HTML / JS生效的一种方法。在将任何用户提供的值显示在页面中之前对其进行编码是个好主意。