为什么我的帖子内容中允许使用javascript?

9

抄本说你不能在帖子内容中添加javascript

https://codex.wordpress.org/Using_Javascript

但是我可以。我已经关闭了所有插件,并更改为26个主题,但无济于事-我仍然可以通过发布内容添加javascript,并使其在前端运行。出于安全原因,我不希望任何人能够通过帖子内容(除了oembed等)添加javascript。

有没有人经历过这个或有什么想法可以帮助?

谢谢

filters  javascript  capabilities  post-content 
坏运气
source
认为,如果您具有unfiltered_html功能,则可以使用JS。测试编辑者和作者级别的登录名,以确保非管理员用户不能登录。
安迪·麦考利-布鲁克
嗯,对了,谢谢。作者和贡献者无法做到这一点。您是否知道如何为管理员和编辑者过滤脚本?我不知道是否要对此问题添加编辑或询问新问题。
arthurrandom
我将添加一个答案并将其包括在内。忍受我-我正在通过手机执行此操作。
安迪·麦考利-布鲁克

Answers:

10

如果您具有unfiltered_html功能,则可以使用JS。管理员和编辑者默认具有此功能。

我个人使用插件来更好地控制用户的功能,但是您可以在代码中轻松进行此更改:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

功能存储在选项数据库表中,因此从技术上讲,您无需重复执行此功能。也许自己做一个小插件,然后将其放在激活钩子上。

不要忘记,管理员可以通过加载自己的代码然后直接编辑角色选项来规避此问题。我从不让任何人担任管理员角色,除非我为他们做任何事情感到高兴。

安迪·麦考利·布鲁克
source
完美男人,谢谢您:)出于兴趣,您使用哪个插件进行精细控制?
arthurrandom
没问题!贾斯汀·塔德洛克(Justin Tadlock)的成员。它在插件存储库中。一项工作真的做得很好,包括创建自定义角色和限制内容。
Andy Macaulay-Brook
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.