Perché javascript è consentito nel mio contenuto post?

9

Il codice dice che non puoi aggiungere javascript nel contenuto del post

https://codex.wordpress.org/Using_Javascript

Ma posso. Ho disattivato tutti i plug-in e sono passato al tema venticinque, ma inutilmente: posso ancora aggiungere javascript tramite il contenuto dei post e farlo funzionare sul frontend. Non voglio che nessuno sia in grado di aggiungere javascript attraverso il contenuto del post (oltre a oembed ecc.) Per motivi di sicurezza.

Qualcuno ha sperimentato questo o hai idee per aiutarti?

Grazie

filters  javascript  capabilities  post-content 
arthurrandom
fonte
Io penso che se si ha la capacità unfiltered_html quindi è possibile utilizzare JS. Prova un account di accesso a livello di editor e autore per assicurarti che gli utenti non amministratori non possono farlo.
Andy Macaulay-Brook,
Ahhh hai ragione grazie. Autori e collaboratori non possono farlo. Hai idea di come filtrare lo script per amministratori ed editori? Non so se aggiungere una modifica a questa domanda o chiederne una nuova.
arthurrandom
Aggiungerò una risposta e la includerò. Abbi pazienza, lo sto facendo dal mio telefono.
Andy Macaulay-Brook,

Risposte:

10

Se hai la capacità unfiltered_html, puoi usare JS. Gli amministratori e i redattori hanno questa funzionalità per impostazione predefinita.

Personalmente utilizzo un plug-in per il controllo fine delle capacità dei miei utenti, ma puoi apportare facilmente questa modifica nel codice:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Le funzionalità sono memorizzate nella tabella delle opzioni db, quindi tecnicamente non è necessario eseguirlo ripetutamente. Forse renditi un piccolo plugin e mettilo sul gancio di attivazione.

Non dimenticare che gli amministratori potrebbero aggirare il problema caricando il proprio codice e modificando direttamente le opzioni del ruolo. Non permetto mai a nessuno di avere il ruolo di amministratore a meno che non sia felice che facciano qualcosa.

Andy Macaulay-Brook
fonte
Uomo perfetto grazie :) Per interesse quale plugin usi per il controllo accurato?
arthurrandom
Nessun problema! Membri di Justin Tadlock. È nel repository dei plugin. L'unico lavoro fa davvero bene tra cui la creazione di ruoli personalizzati e la limitazione dei contenuti.
Andy Macaulay-Brook,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.