Que filtrent unfiltered_html et unfiltered_upload?

8

Parmi les capacités de WordPress figurent unfiltered_htmlet unfiltered_upload, cependant, je n'ai pas encore trouvé de documentation sur ce qu'elles autorisent ou empêchent spécifiquement leur filtrage.

La seule mention que j'ai trouvée sur le site de WordPress unfiltered_htmlest:

Permet à l'utilisateur de publier du balisage HTML ou même du code JavaScript dans les pages, les publications, les commentaires et les widgets.

J'ai vu que JavaScript est filtré pour les non-administrateurs, mais quel HTML est filtré?

Et pour unfiltered_upload:

Cette fonctionnalité n'est disponible par défaut pour aucun rôle (y compris les super-administrateurs). La capacité doit être activée en définissant la constante suivante:

define( 'ALLOW_UNFILTERED_UPLOADS', true );

Avec cette constante définie, tous les rôles sur une seule installation de site peuvent recevoir la capacité unfiltered_upload, mais seuls les super administrateurs peuvent avoir la capacité sur une installation multisite.

Et encore une fois, la description ne précise pas ce qui est autorisé et ce qui est filtré.

Quelqu'un peut-il me dire exactement quels éléments, code ou types de fichiers les fonctionnalités unfiltered_htmlet les unfiltered_uploadautorisations permettent ou empêchent?

user-roles capabilities j08691
la source

Réponses:

7

Il est difficile de trouver une réponse précise car les capacités sont souvent utilisées plus largement qu'elles ne le supposent. Par exemple, rechercher manage_optionsest généralement synonyme de rechercher un utilisateur administrateur et peut apparaître dans des contextes qui n'ont pas grand-chose à voir avec les options .

Habituellement, il y aura une différence entre le contenu du sujet passant ou non wp_kses(). Les paramètres spécifiques de kses et ce qui est considéré comme autorisé dépendraient du contexte et pourraient se méfier.

Pour unfiltered_uploadautant que je m'en souvienne, c'est plus simple. Sans cela, seuls les types de fichiers répertoriés en blanc sont autorisés. La liste est basée sur wp_get_mime_types().

Rarst
la source
1
Dans le fichier, wp-includes/kses.phpvous pouvez trouver les valeurs initiales $allowedposttagset les $allowedtagstableaux utilisés par les fonctions kses.
Milo
Merci pour l'explication. On dirait que les types MIME pour les téléchargements peuvent être trouvés sur core.trac.wordpress.org/browser/tags/4.3/src/wp-includes/… . Une idée où le code auquel les références unfiltered_htmlpeuvent se trouver?
j08691
unfiltered_htmlest éclaboussé partout dans la base de code. La recherche de source rapide filme plus d'une douzaine de fichiers différents le mentionnant.
Rarst
Quelqu'un peut-il travailler là-dessus. Actuellement, c'est un cauchemar impossible de télécharger des médias non sur liste blanche. Aucun des plugins ne fonctionne correctement. Wordpress est un CMS - oui, c'est vrai. Est un système de gestion de contenu MIS.
Jim Maguire
1
cette question nous a littéralement sauvé la vie, nous recherchons depuis des jours une solution au problème qui s'est répandu, nous avons un type de message personnalisé qui doit être exploité par les clients qui génèrent leurs messages avec des scripts actifs et des fichiers SVG et, , le problème n'était pas avec la sauvegarde des messages, le problème était que WP les avait complètement supprimés,. cela nous a donné la bonne direction et le droit capd'utiliser, merci
Kresimir Pendic
4

J'apprécie que ce soit un vieux fil de discussion, mais unfiltered_html restreint nous causait d'énormes problèmes sur notre site d'actualités.

Les rédacteurs internes (une classe spéciale d'utilisateurs) doivent placer des photos et des vidéos dans leur histoire. Bien que les photos ne soient pas un problème, l'intégration d'iframe dans la page avec le code vidéo intégré a vu le code intégré disparaître lors de l'enregistrement de leurs histoires.

Si la vidéo était intégrée pour eux par un éditeur, les scénaristes perdraient toujours l'iframe lorsqu'ils sauvegardaient leurs histoires.

En débloquant unfiltered_html, nos rédacteurs peuvent intégrer le contenu vidéo et organiser correctement leur publication.

En ce qui concerne unfiltered_uploads, je pense qu'il a été répondu.

J'espère que cela aide quelqu'un.

John Le Fevre
la source