Почему в моем сообщении разрешен JavaScript?

9

Кодекс говорит, что вы не можете добавить JavaScript в содержание сообщения

https://codex.wordpress.org/Using_Javascript

Но я могу. Я отключил все плагины и изменил на тему twentysixteen, но безрезультатно - я все еще могу добавить javascript через контент поста и запустить его на внешнем интерфейсе. Я не хочу, чтобы кто-либо мог добавлять javascript через содержание публикации (кроме oembed и т. Д.) По соображениям безопасности.

Кто-нибудь сталкивался с этим или есть идеи, чтобы помочь?

Спасибо

filters  javascript  capabilities  post-content 
arthurrandom
источник
Я думаю, что если у вас есть возможность unfiltered_html, вы можете использовать JS. Протестируйте логин на уровне редактора и автора, чтобы убедиться, что пользователи без прав администратора не могут.
Энди Маколей-Брук,
Аааа, ты прав, спасибо. Авторы и участники не могут этого сделать. У вас есть идеи, как отфильтровать скрипт для администраторов и редакторов? Я не знаю, добавить ли изменение в этот вопрос или задать новый.
arthurrandom
Я добавлю ответ и включу это. Терпите меня - я делаю это со своего телефона.
Энди Маколей-Брук,

Ответы:

10

Если у вас есть возможность unfiltered_html, вы можете использовать JS. Администраторы и редакторы имеют эту возможность по умолчанию.

Лично я использую плагин для точного управления возможностями моих пользователей, но вы можете легко сделать это изменение в коде:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Возможности хранятся в таблице параметров базы данных, поэтому технически вам не нужно выполнять это повторно. Возможно, сделайте себе небольшой плагин и поместите его на крючок активации.

Не забывайте, что администраторы могут обойти это, загрузив свой собственный код, а затем непосредственно отредактировав параметры роли. Я никогда не позволю никому занимать роль администратора, если я не рад, что они что-то делают.

Энди Маколей-Брук
источник
Perfect man спасибо :) Из интереса, какой плагин вы используете для точного контроля?
arthurrandom
Нет проблем! Члены Джастина Тэдлока. Это в хранилище плагинов. Хорошо выполняет одну работу, включая создание пользовательских ролей и ограничение контента.
Энди Маколей-Брук,
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.