Was filtern unfiltered_html und unfiltered_upload tatsächlich?

8

Zu den Funktionen von WordPress gehören unfiltered_htmlund unfiltered_uploadich habe jedoch noch keine Dokumentation darüber gefunden, was sie speziell in ihrer Filterung zulassen oder verhindern.

Die einzige Erwähnung, die ich auf der WordPress-Website gefunden habe, unfiltered_htmlist:

Ermöglicht dem Benutzer das Posten von HTML-Markups oder sogar JavaScript-Code in Seiten, Posts, Kommentaren und Widgets.

Ich habe gesehen, dass JavaScript für Nicht-Administratoren herausgefiltert wird, aber welches HTML wird gefiltert?

Und für unfiltered_upload:

Diese Funktion steht standardmäßig keiner Rolle zur Verfügung (einschließlich Superadministratoren). Die Funktion muss durch Definieren der folgenden Konstante aktiviert werden:

define( 'ALLOW_UNFILTERED_UPLOADS', true );

Wenn diese Konstante definiert ist, können alle Rollen an einer einzelnen Standortinstallation die Funktion ungefiltert_upload erhalten, bei einer Multisite-Installation können jedoch nur Superadministratoren die Funktion erhalten.

Und wieder beschreibt die Beschreibung nicht, was erlaubt und was herausgefiltert ist.

Kann mir jemand genau sagen, welche Elemente, Codes oder Dateitypen die unfiltered_htmlund unfiltered_uploadFunktionen zulassen oder verhindern?

user-roles capabilities j08691
quelle

Antworten:

7

Es ist schwierig, eine genaue Antwort zu finden, da Funktionen häufig breiter eingesetzt werden, als sie implizieren. Zum Beispiel ist check for manage_optionsnormalerweise ein Synonym für die Suche nach Administratorbenutzern und kann in Kontexten auftreten, die eigentlich nicht viel mit Optionen zu tun haben .

Normalerweise ist es ein Unterschied zwischen dem Passieren oder Nicht-Passieren von Themeninhalten wp_kses(). Bestimmte kses-Einstellungen und das, was als zulässig angesehen wird, hängen vom Kontext ab und sind möglicherweise vorsichtig.

Denn unfiltered_uploadsoweit ich es einfacher erinnern. Ohne sie sind nur Dateitypen mit weißer Liste zulässig. Die Liste basiert auf wp_get_mime_types().

Selten
quelle
1
In der Datei wp-includes/kses.phpfinden Sie die Anfangswerte $allowedposttagsund $allowedtagsArrays, die von den kses-Funktionen verwendet werden.
Milo
Danke für die Erklärung. Die MIME-Typen für Uploads finden Sie anscheinend unter core.trac.wordpress.org/browser/tags/4.3/src/wp-includes/… . Irgendeine Idee, wo der Code, auf den verwiesen wird, unfiltered_htmlliegen könnte?
j08691
unfiltered_htmlist überall auf der Codebasis verteilt. Schnelle Quellensuche führt zu mehr als einem Dutzend verschiedenen Dateien, in denen dies erwähnt wird.
Erster
Kann jemand daran arbeiten. Derzeit ist es ein unmöglicher Albtraum, nicht auf der Whitelist stehende Medien hochzuladen. Keines der Plugins funktioniert korrekt. Wordpress ist ein CMS - ja richtig. Ist ein Content-MIS-Managementsystem.
Jim Maguire
1
Diese Frage hat uns buchstäblich das Leben gerettet. Wir haben tagelang nach einer Lösung für das verteilte Problem gesucht. Wir haben einen benutzerdefinierten Beitragstyp, der von Kunden betrieben werden muss, die ihre Beiträge mit aktiven Skripten und SVG-Dateien erstellen. Das Problem bestand nicht darin, die Beiträge zu speichern. Das Problem bestand darin, dass WP sie vollständig entfernt hat. Dies gab uns die richtige Richtung und das Recht capzu verwenden, danke
Kresimir Pendic
4

Ich schätze, dass dies ein alter Thread ist, aber eingeschränkte unfiltered_html hat uns große Probleme auf unserer News-Site verursacht.

Die internen Autoren (eine spezielle Benutzerklasse) müssen Fotos und Videos in ihre Geschichte einfügen. Während Fotos kein Problem darstellen, verschwand beim Einbetten von Iframes in die Seite mit dem eingebetteten Videocode der eingebettete Code, wenn sie ihre Geschichten speicherten.

Wenn das Video von einem Redakteur für sie eingebettet wurde, verlieren die Autoren immer noch den Iframe, wenn sie ihre Geschichten speichern.

Durch das Entsperren von unfiltered_html können unsere Mitarbeiter den Videoinhalt einbetten und ihren Beitrag ordnungsgemäß einrichten.

Ich glaube, dass ungefilterte_Uploads beantwortet wurden.

Hoffe das hilft jemandem.

John Le Fevre
quelle