Intereting Posts
Выпадающее меню не отображается в меню навигации Регистрировать регистрацию в WordPress, когда у пользователя нет электронной почты? Как открыть подменю плагина при просмотре пользовательской версии users.php? Санитация в вставке wpdb не работает Уникальный идентификатор пользователя с контрольной суммой Добавление атрибута языка на главную страницу Выход из массива метабокса Удалить / Отменить регистрацию или скрыть виджет, добавленный плагином Получить имена и пути из unzip_file () Всегда ли это лучшая практика для развязки Frontend из области администрирования при разработке приложения WordPress? Удалить число разбиения на страницы functions.php добавление элемента в конец меню. Я хочу изменить позицию Постоянная ссылка – .htaccess Изменения в настройке виджета не вызывают 'сохранение и публикацию' Вопрос о правильном использовании wp_redirect?

Почему javascript разрешен в моем сообщении?

Кодекс говорит, что вы не можете добавить javascript в сообщение

https://codex.wordpress.org/Using_Javascript

Но я могу. Я отключил все плагины и изменил тему twentysixteen, но безрезультатно – я все еще могу добавить javascript через содержимое сообщения и запустить его на интерфейсе. Я не хочу, чтобы кто-нибудь мог добавить javascript через содержимое сообщения (кроме oembed и т. Д.) По соображениям безопасности.

Кто-нибудь испытал это или имел какие-то идеи, чтобы помочь?

благодаря

Solutions Collecting From Web of "Почему javascript разрешен в моем сообщении?"

Если у вас есть функция unfiltered_html, вы можете использовать JS. Администраторы и редакторы имеют эту возможность по умолчанию.

Лично я использую плагин для точного управления возможностями моих пользователей, но вы можете легко сделать это изменение в коде:

$role = get_role( 'administrator' ); $role->remove_cap( 'unfiltered_html' ); $role = get_role( 'editor' ); $role->remove_cap( 'unfiltered_html' ); 

Возможности хранятся в таблице опций db, поэтому технически вам не нужно выполнять это повторно. Возможно, сделайте себе небольшой плагин и положите его на крючок активации.

Не забывайте, что администраторы могли обойти это, загрузив свой собственный код и затем непосредственно отредактировав параметры роли. Я никогда не позволяю кому-либо иметь роль администратора, если я не рад за то, что они что-то сделали.