Intereting Posts
Попытка проверить и посмотреть, имеет ли сообщение изображение, отличное от основного цикла Тематический инспектор «X-Ray» Удаление jQuery из нижнего колонтитула Поиск пользователей с настраиваемыми метаданными Сообщения перенаправляются на домашнюю страницу xampp Как сжать изображение перед вставкой в ​​wordpress с помощью функции wp_insert_attachment? Как передать переменную в действие wp_ajax? Запись пользовательской функции выдержки Удалить сообщения мета ключи Переписывание страницы с настраиваемым параметром Как удалить пользователей из WordPress MultiSite, которые остаются в БД? Лучший подход для загрузки боковой панели Только в том случае, если максимальная ширина экрана составляет> 900 пикселей? Как показать подкатегории в категориях еще показывать сообщения При импорте базы данных отображается ошибка Рекомендовать руководство по ловле ошибок плагина, пожалуйста?

Почему javascript разрешен в моем сообщении?

Кодекс говорит, что вы не можете добавить javascript в сообщение

https://codex.wordpress.org/Using_Javascript

Но я могу. Я отключил все плагины и изменил тему twentysixteen, но безрезультатно – я все еще могу добавить javascript через содержимое сообщения и запустить его на интерфейсе. Я не хочу, чтобы кто-нибудь мог добавить javascript через содержимое сообщения (кроме oembed и т. Д.) По соображениям безопасности.

Кто-нибудь испытал это или имел какие-то идеи, чтобы помочь?

благодаря

Solutions Collecting From Web of "Почему javascript разрешен в моем сообщении?"

Если у вас есть функция unfiltered_html, вы можете использовать JS. Администраторы и редакторы имеют эту возможность по умолчанию.

Лично я использую плагин для точного управления возможностями моих пользователей, но вы можете легко сделать это изменение в коде:

$role = get_role( 'administrator' ); $role->remove_cap( 'unfiltered_html' ); $role = get_role( 'editor' ); $role->remove_cap( 'unfiltered_html' ); 

Возможности хранятся в таблице опций db, поэтому технически вам не нужно выполнять это повторно. Возможно, сделайте себе небольшой плагин и положите его на крючок активации.

Не забывайте, что администраторы могли обойти это, загрузив свой собственный код и затем непосредственно отредактировав параметры роли. Я никогда не позволяю кому-либо иметь роль администратора, если я не рад за то, что они что-то сделали.