Intereting Posts
Кто-нибудь смог интегрировать wp_editor внутри виджета? Как сбросить нумерацию страниц перед импортом? Проблемы с перенаправлением и permalink после перемещения нескольких пользователей на новый сервер Использование WordPress в качестве библиотеки документов CMB2 условная логика обмена Является ли нормальным / приемлемым для разработчиков плагинов / тем, чтобы попросить войти в админ для расследования проблемы? Почему установка wordpress в корневом каталоге url поднималась на базовые сайты WP? Два файла «.htaccess», расположенные в разных каталогах? Pagination не работает с query_posts () Позвольте пользователю отредактировать собственный комментарий Кнопка RSS в категориях разбиения на страницы / теги Как добавить изображения в таксономии? Можно ли хранить массивы в настраиваемом поле? Получить значение тайм-аута сохраненного переходного процесса? wp_insert_post – изображение из библиотеки

Каков безопасный способ печати кода отслеживания / пикселя перед тегом </ head> или тегом </ body>

Каков безопасный способ печати кода отслеживания / пикселя перед </head> или тегом </body> из параметров темы.

В header.php я напечатал следующий код перед </head>

 if ( get_theme_mod( 'before_head' ) !== '' ) { echo get_theme_mod( 'before_head' ); } 

Но пользователь может добавить вредоносный скрипт в поле before_head.

Как выводить безопасные / экранированные данные?

Solutions Collecting From Web of "Каков безопасный способ печати кода отслеживания / пикселя перед тегом </ head> или тегом </ body>"

Похоже, вы пытаетесь внедрить поле общего назначения для пользователей, чтобы ввести какой-либо код отслеживания / JS. Такой подход дает пользователям максимальную гибкость, но это означает, что вы доверяете им, чтобы помещать любой JavaScript, который они хотят в верхний и нижний колонтитулы. По умолчанию пользователям нужны роли администратора или супер администратора для редактирования параметров темы, поэтому, пока ваши администраторы доверяют, все должно быть в порядке. WordPress добавит косые черты к значениям опций, когда они будут сохранены, поэтому используйте stripslashes() на выходе.

Другим подходом было бы иметь конкретное поле для каждого сценария, который вы хотите вывести. Попросите пользователя ввести идентификатор / идентификатор / или любой фрагмент уникальной информации, необходимой для определенного фрагмента. Затем в вашей выходной функции объединяйтесь и esc_js() (используя esc_js() ) пользователь esc_js() значение в фрагмент кода JS. Это довольно жестко, но это даст вам жесткий контроль над тем, что пользователь может добавить на сайт.