为什么在我的帖子内容中允许使用Java脚本?

时间:2016-08-04 作者:arthurrandom

codex说你不能在帖子内容中添加javascript

https://codex.wordpress.org/Using_Javascript

但我可以。我已经关闭了所有插件,改为“216th”主题,但没有用——我仍然可以通过帖子内容添加javascript,并在前端运行它。出于安全原因,我不希望任何人能够通过帖子内容(除了oembed等)添加javascript。

有没有人经历过这种情况,或者有什么想法可以帮助你?

谢谢

1 个回复
最合适的回答,由SO网友:Andy Macaulay-Brook 整理而成

如果您具有unfiltered\\u html功能,那么您可以使用JS。默认情况下,管理员和编辑器具有此功能。

就我个人而言,我使用一个插件来精细地控制我的用户的功能,但您可以在代码中轻松地进行此更改:

  $role = get_role( \'administrator\' );
  $role->remove_cap( \'unfiltered_html\' );
  $role = get_role( \'editor\' );
  $role->remove_cap( \'unfiltered_html\' );
这些功能存储在options db表中,因此从技术上讲,您不需要重复执行。也许你可以自己制作一个小插件,然后把它放到激活挂钩上。

不要忘记,管理员可以通过加载自己的代码,然后直接编辑角色选项来绕过这一点。我从不让任何人担任管理员的角色,除非我很乐意让他们做任何事情。

标签: filters   javascript   capabilities   post-content   小码农  

相关推荐

如何在函数中添加自定义的JavaScript?

我想写一些JavaScript,并想将其分配给一个自定义功能,我探索了很多,但不幸的是,它们都不起作用,任何帮助都将受到欢迎。我的代码如下:add_action(\'init\', function() { if (current_user_can(\'disable_image\')) { //add javascript here } });