Por que o javascript é permitido no meu conteúdo de postagem?

9

O códice diz que você não pode adicionar javascript no conteúdo da postagem

enlace

Mas eu posso. Eu desliguei todos os plugins e mudei para twentysixteen theme, mas sem sucesso - eu ainda posso adicionar javascript, através do conteúdo da postagem, e tê-lo executado no frontend. Eu não quero que ninguém seja capaz de adicionar javascript através do conteúdo do post (além de oembed etc.) por razões de segurança.

Alguém já experimentou isso ou tem alguma idéia para ajudar?

Obrigado

    
por arthurrandom 04.08.2016 / 20:41

1 resposta

10

Se você tiver o recurso unfiltered_html, poderá usar o JS. Administradores e editores têm esse recurso por padrão.

Pessoalmente, eu uso um plug-in para um bom controle das capacidades dos meus usuários, mas você pode fazer essa alteração facilmente no código:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Os recursos são armazenados na tabela db das opções, portanto, tecnicamente, você não precisa executar isso repetidamente. Talvez faça um pequeno plugin e coloque isso no gancho de ativação.

Não se esqueça de que os administradores poderiam contornar isso carregando seu próprio código e editando diretamente as opções de função. Eu nunca deixo ninguém ter o papel de administrador, a menos que eu esteja feliz por eles fazerem alguma coisa.

    
por Andy Macaulay-Brook 04.08.2016 / 21:25