Intereting Posts
перемещать сообщения в блоге из одного wordpress в другой Как внести изменения в медиа-библиотеку, чтобы они отражались в сообщениях / страницах Перечислите дочерние категории из родительской категории на странице пользовательской таксономии Правильно добавьте виджеты в масонские макеты – jQuery && || PHP Попытка использования тернарных операторов с условиями WP как получить значения db без использования цикла с помощью wpdb-> get_results () Проблема с добавлением класса в Bootstrap Navbar Walker Если значение меньше IE9 Добавьте новый элемент управления в Customizer для изменения заголовков (h1, h2, h3 …) Цвет Как я могу показать категории Описание изображение в RSS-ленте добавление фильтра в короткий код? Где указано количество сообщений? Как подключить пользовательские таксономии к пользовательским типам сообщений и заставить постоянные ссылки работать? Синтаксис highligting для настраиваемых полей

Как WordPress санирует почтовый контент при сохранении? Или это не так?

Использует ли WordPress какую-либо санитарию данных для своего содержимого после сохранения из области администрирования? (например, дескрипторы <script> ). Или все, что он делает, это проверки на некоторые пользовательские возможности (например, current_user_can('edit_posts') ?

Я спрашиваю, потому что я делаю плагин виджета:

  • Он позволяет добавлять или редактировать HTML-контент, который позже будет показан в интерфейсе.
  • Он может быть отредактирован администратором или редактором сайта.
  • Содержимое HTML может иметь любую структуру, может содержать теги скриптов и может содержать любые атрибуты. Таким образом, wp_kses не вариант.

Мой вопрос: насколько безопасно это делать без какой-либо дезинфекции? (помимо проверки current_user_can).

Solutions Collecting From Web of "Как WordPress санирует почтовый контент при сохранении? Или это не так?"

Безопасный против / для чего? Является ли «законный пользователь может вводить любой HTML» вопрос безопасности?

Если вы можете обрабатывать данные от недобросовестных пользователей, но не на самом деле, как предоставить администраторам возможность определять, какие теги / атрибуты вычеркивать (необязательно: для каждой группы пользователей / роли), а ваш плагин делает все остальное или запускать контент через фильтр, где они могут реализовать свою собственную логику с помощью add_filter ?