Boa tarde pessoal!
Como estamos conversado nesse tópico, está acontecendo em algumas lojas tentativas maliciosas. Mas podem ficar tranquilos pois não há risco algum para vocês.
Essas tentativas ficam com alguns dados estranhos como o seguinte caso
O que está acontecendo são algumas tentativas de XSS (Cross-Site Scripting), em formulários ou campos de entrada de dados. De forma simples, o XSS ocorre quando alguém tenta “injetar” códigos ou scripts de programação dentro de um site para tentar executar ações não autorizadas.
Isso fica salvo no pedido mas não apresenta perigo nenhum para seu e-commerce pois nunca será executado.
Se isso está te incomodando, você pode adicionar o código abaixo através do cms da loja em Layout > Inserir Código > HTML antes de /body . Esse código vai impedir que usuários adicionem em complemento e referência os caracteres <>"'&, que são necessários para a tentativa de xss. Com isso esses pedidos devem parar de entrar.
<!-- bloqueio de xss -->
<script>(function () {
var blocked = /[<>"'&]/;
var ids = ['address-form-compl', 'address-form-ref'];
document.addEventListener('keydown', function (e) {
if (ids.indexOf(e.target.id) !== -1 && blocked.test(e.key)) {
e.preventDefault();
}
});
document.addEventListener('paste', function (e) {
if (ids.indexOf(e.target.id) === -1) return;
e.preventDefault();
var text = (e.clipboardData || window.clipboardData).getData('text');
var sanitized = text.replace(/[<>"'&]/g, '');
var el = e.target;
var start = el.selectionStart;
var end = el.selectionEnd;
el.value = el.value.slice(0, start) + sanitized + el.value.slice(end);
el.selectionStart = el.selectionEnd = start + sanitized.length;
});
})();</script>
<!-- FIM bloqueio de xss -->