使用WP3.x将JavaScript注入帖子 时间:2011-02-24 作者:kim3er 我有一个客户机,他试图使用web界面将一些JS直接注入到帖子中。该脚本将在现场剥离。我无法在本地安装上复制此行为。JS按预期添加。我的安装和客户端的主要区别在于,我的安装是新的WP3安装,而客户端的安装是从WP2升级的WP3。这是配置选项还是遗留问题?是否有其他原因导致这种情况发生?富有的 2 个回复 最合适的回答,由SO网友:kim3er 整理而成 至少在我的安装中,管理员和编辑器能够将脚本注入到他们的帖子中。作者无法。作者内容是使用一个名为KSES的插件解析的,该插件去掉了不允许的HTML。KSES插件可以被覆盖或扩展。我通过破解一个名为Extend-KSES的社区插件实现了这一点(http://wordpress.org/extend/plugins/extend-kses/).不太热衷于允许脚本注入的想法,因此应该让客户机意识到危险。富有的 SO网友:Rarst 如果我在这个问题上没有弄错的话——这是由unfiltered_html 能力。默认情况下,仅对编辑器角色和更高级别可用。 结束 文章导航
