Por que o javascript é permitido no meu conteúdo de postagem?

Question

Por que o javascript é permitido no meu conteúdo de postagem?

#1 resposta do Andy Macaulay-Brook (10 votos)

9

O códice diz que você não pode adicionar javascript no conteúdo da postagem

Mas eu posso. Eu desliguei todos os plugins e mudei para twentysixteen theme, mas sem sucesso - eu ainda posso adicionar javascript, através do conteúdo da postagem, e tê-lo executado no frontend. Eu não quero que ninguém seja capaz de adicionar javascript através do conteúdo do post (além de oembed etc.) por razões de segurança.

Alguém já experimentou isso ou tem alguma idéia para ajudar?

Obrigado

filters capabilities javascript post-content

por arthurrandom 04.08.2016 / 20:41

1 resposta

Tags filters capabilities javascript post-content

Substituir a tradução padrão do WordPress Use AJAX no shortcode

score 10 · Accepted Answer

Se você tiver o recurso unfiltered_html, poderá usar o JS. Administradores e editores têm esse recurso por padrão.

Pessoalmente, eu uso um plug-in para um bom controle das capacidades dos meus usuários, mas você pode fazer essa alteração facilmente no código:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Os recursos são armazenados na tabela db das opções, portanto, tecnicamente, você não precisa executar isso repetidamente. Talvez faça um pequeno plugin e coloque isso no gancho de ativação.

Não se esqueça de que os administradores poderiam contornar isso carregando seu próprio código e editando diretamente as opções de função. Eu nunca deixo ninguém ter o papel de administrador, a menos que eu esteja feliz por eles fazerem alguma coisa.