Warum ist Javascript in meinem Beitragsinhalt erlaubt?

9

Der Kodex besagt, dass Sie dem Beitragsinhalt kein Javascript hinzufügen können

https://codex.wordpress.org/Using_Javascript

Aber ich kann. Ich habe alle Plugins deaktiviert und auf das Thema 20 geändert, aber ohne Erfolg. Ich kann weiterhin Javascript über den Post-Inhalt hinzufügen und es im Frontend ausführen lassen. Ich möchte nicht, dass jemand aus Sicherheitsgründen Javascript über den Post-Inhalt hinzufügen kann (außer oembed usw.).

Hat jemand dies erlebt oder hat er Ideen, um zu helfen?

Vielen Dank

arthurrandom
quelle
Ich denke , wenn Sie die Funktion unfiltered_html haben, können Sie JS verwenden. Testen Sie ein Login auf Editor- und Autorenebene, um sich zu vergewissern, dass Benutzer ohne Administratorrechte dies nicht können.
Andy Macaulay-Brook
Ahhh du hast recht danke. Autoren und Mitwirkende können das nicht. Haben Sie eine Idee, wie Sie das Skript für Administratoren und Editoren herausfiltern können? Ich weiß nicht, ob ich dieser Frage eine Bearbeitung hinzufügen oder eine neue stellen soll.
Arthurrandom
Ich werde eine Antwort hinzufügen und diese einschließen. Tragen Sie mit mir - ich mache das von meinem Telefon aus.
Andy Macaulay-Brook

Antworten:

10

Wenn Sie über die Funktion unfiltered_html verfügen, können Sie JS verwenden. Administratoren und Redakteure verfügen standardmäßig über diese Funktion.

Persönlich verwende ich ein Plugin zur Feinsteuerung der Funktionen meiner Benutzer, aber Sie können diese Änderung einfach im Code vornehmen:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Die Funktionen werden in der Options-DB-Tabelle gespeichert, sodass Sie dies technisch nicht wiederholt ausführen müssen. Machen Sie sich vielleicht ein kleines Plugin und setzen Sie dieses auf den Aktivierungshaken.

Vergessen Sie nicht, dass Administratoren dies umgehen könnten, indem sie ihren eigenen Code laden und dann die Rollenoptionen direkt bearbeiten. Ich lasse niemanden die Administratorrolle übernehmen, es sei denn, ich freue mich, dass er etwas unternimmt.

Andy Macaulay-Brook
quelle
Perfekter Mann, danke :) Aus Interesse, welches Plugin verwenden Sie für die Feinsteuerung?
Arthurrandom
Kein Problem! Mitglieder von Justin Tadlock. Es befindet sich im Plugin-Repository. Funktioniert der eine Job wirklich gut, einschließlich des Erstellens benutzerdefinierter Rollen und des Einschränkens von Inhalten.
Andy Macaulay-Brook