Intereting Posts
Previous_post и Next_post – Пользовательский тип сообщения Почему мой визуальный редактор сообщений ломается, когда я пытаюсь добавить кнопку TinyMCE? Как скрыть сообщение с Домашней страницы ..? Показать все сообщения, которые были опубликованы до полной публикации на single.php Бесплатный хостинг файлов для WordPress Отфильтруйте второй раскрывающийся список, когда значение выбрано в первом Wp PageNavi работает только с постоянными значениями по умолчанию для настраиваемого типа сообщений? Как создать карту с маркерами из отдельных сообщений? Как получить страничный пул текущей страницы архива для пользовательской таксономии Как изменить миниатюру встроенного видео Youtube? Заменить «опубликованный на дату» с «измененным на дату» в сообщениях Запускать вставку, если в противном случае не выполняется обновление с помощью ajax Определение URI для плагинов .htaccess защита паролем Как добавить параметр в список шаблонов страниц из плагина?

Почему javascript разрешен в моем сообщении?

Кодекс говорит, что вы не можете добавить javascript в сообщение

https://codex.wordpress.org/Using_Javascript

Но я могу. Я отключил все плагины и изменил тему twentysixteen, но безрезультатно – я все еще могу добавить javascript через содержимое сообщения и запустить его на интерфейсе. Я не хочу, чтобы кто-нибудь мог добавить javascript через содержимое сообщения (кроме oembed и т. Д.) По соображениям безопасности.

Кто-нибудь испытал это или имел какие-то идеи, чтобы помочь?

благодаря

Если у вас есть функция unfiltered_html, вы можете использовать JS. Администраторы и редакторы имеют эту возможность по умолчанию.

Лично я использую плагин для точного управления возможностями моих пользователей, но вы можете легко сделать это изменение в коде:

$role = get_role( 'administrator' ); $role->remove_cap( 'unfiltered_html' ); $role = get_role( 'editor' ); $role->remove_cap( 'unfiltered_html' ); 

Возможности хранятся в таблице опций db, поэтому технически вам не нужно выполнять это повторно. Возможно, сделайте себе небольшой плагин и положите его на крючок активации.

Не забывайте, что администраторы могли обойти это, загрузив свой собственный код и затем непосредственно отредактировав параметры роли. Я никогда не позволяю кому-либо иметь роль администратора, если я не рад за то, что они что-то сделали.