Pourquoi javascript est-il autorisé dans le contenu de mon message?

9

Le codex dit que vous ne pouvez pas ajouter de javascript dans le contenu du message

https://codex.wordpress.org/Using_Javascript

Mais je peux. J'ai désactivé tous les plugins et changé pour le thème twentysixteen, mais en vain - je peux toujours ajouter javascript, via le contenu du post, et le faire fonctionner sur le frontend. Je ne veux pas que quiconque puisse ajouter du javascript via le contenu de la publication (à l'exception de oembed, etc.) pour des raisons de sécurité.

Quelqu'un a-t-il vécu cela ou a-t-il des idées pour vous aider?

Merci

filters javascript capabilities post-content arthurrandom
la source
Je pense que si vous avez la capacité unfiltered_html, vous pouvez utiliser JS. Testez une connexion au niveau de l'éditeur et de l'auteur pour vous assurer que les utilisateurs non administrateurs ne peuvent pas.
Andy Macaulay-Brook
Ahhh tu as raison merci. Les auteurs et les contributeurs ne peuvent pas le faire. Avez-vous une idée de comment filtrer le script pour les administrateurs et les éditeurs? Je ne sais pas s'il faut ajouter une modification à cette question ou en poser une nouvelle.
arthurrandom
Je vais ajouter une réponse et l'inclure. Restez avec moi - je le fais depuis mon téléphone.
Andy Macaulay-Brook

Réponses:

10

Si vous avez la capacité unfiltered_html, vous pouvez utiliser JS. Les administrateurs et les éditeurs ont cette capacité par défaut.

Personnellement, j'utilise un plugin pour un contrôle précis des capacités de mes utilisateurs, mais vous pouvez facilement effectuer cette modification dans le code:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Les capacités sont stockées dans le tableau d'options db, donc techniquement vous n'avez pas besoin de l'exécuter à plusieurs reprises. Faites-vous peut-être un petit plugin et mettez-le sur le crochet d'activation.

N'oubliez pas que les administrateurs peuvent contourner cela en chargeant leur propre code, puis en modifiant directement les options de rôle. Je ne laisse jamais personne avoir le rôle d'administrateur à moins que je ne sois heureux qu'il fasse quoi que ce soit.

Andy Macaulay-Brook
la source
Homme parfait merci :) Par intérêt quel plugin utilisez-vous pour le contrôle fin?
arthurrandom
Aucun problème! Membres par Justin Tadlock. C'est dans le référentiel de plugins. Est-ce que le seul travail est vraiment bien, y compris la création de rôles personnalisés et la restriction du contenu.
Andy Macaulay-Brook