Dlaczego javascript jest dozwolony w treści mojego postu?

9

Kodeks mówi, że nie można dodawać javascript w treści postu

https://codex.wordpress.org/Using_Javascript

Ale ja mogę. Wyłączyłem wszystkie wtyczki i zmieniłem motyw na twentysixteen, ale bezskutecznie - nadal mogę dodawać javascript za pośrednictwem treści postu i uruchamiać go w interfejsie użytkownika. Nie chcę, aby ktokolwiek mógł dodawać javascript w treści postu (oprócz oembed itp.) Ze względów bezpieczeństwa.

Czy ktoś tego doświadczył lub ma jakieś pomysły na pomoc?

Dzięki

filters  javascript  capabilities  post-content 
arthurrandom
źródło
Myślę , że jeśli masz opcję unfiltered_html, możesz użyć JS. Przetestuj logowanie na poziomie edytora i autora, aby upewnić się, że użytkownicy niebędący administratorami nie mogą.
Andy Macaulay-Brook
Ahhh masz rację dzięki. Autorzy i autorzy nie mogą tego zrobić. Czy masz pomysł, jak odfiltrować skrypt dla administratorów i redaktorów? Nie wiem, czy dodać edycję do tego pytania, czy zadać nowe.
arthurrandom
Dodam odpowiedź i dołączę to. Bądź ze mną - robię to z mojego telefonu.
Andy Macaulay-Brook

Odpowiedzi:

10

Jeśli masz opcję unfiltered_html, możesz użyć JS. Administratorzy i redaktorzy mają tę funkcję domyślnie.

Osobiście używam wtyczki do dokładnej kontroli możliwości moich użytkowników, ale możesz łatwo wprowadzić tę zmianę w kodzie:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Możliwości są przechowywane w tabeli db opcji, więc technicznie nie trzeba wykonywać tego wielokrotnie. Może zrób sobie małą wtyczkę i umieść ją na haku aktywacyjnym.

Nie zapominaj, że administratorzy mogą to obejść, ładując własny kod, a następnie bezpośrednio edytując opcje roli. Nigdy nie pozwalam nikomu pełnić roli administratora, chyba że cieszę się, że coś robią.

Andy Macaulay-Brook
źródło
Idealny człowiek, dziękuję :) Zainteresowanych, jakiej wtyczki używasz do precyzyjnej kontroli?
arthurrandom
Nie ma problemu! Członkowie: Justin Tadlock. Jest w repozytorium wtyczek. Wykonuje jedno zadanie naprawdę dobrze, włączając tworzenie niestandardowych ról i ograniczanie zawartości.
Andy Macaulay-Brook,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.