在可翻译字符串中使用HTML链接

时间:2017-05-13 作者:Mohamed Omar

如果我不使用wp_kses 在可翻译字符串中使用HTML链接时的函数?我知道这个函数的作用,但我不明白的是为什么以及何时应该实现这个函数?特别是可翻译字符串。

1 个回复
最合适的回答,由SO网友:Mark Kaplun 整理而成

这基本上取决于谁在做翻译,以及他有多值得信任,就好像你不会过滤掉东西一样。译者可以添加JS代码,仍然是cookies等等。

在大多数翻译完成的地方,你无论如何都会打电话到esc_htmlesc_attr 这将缓解问题,但很明显,如果您需要实际链接,则无法使用这些功能。使用wp_kses 只是要确保翻译中没有意外。

例如,没有什么可以阻止翻译人员进行翻译__(\'Hi there) 进入Hi there <script>alert(\'evil laugh\')</script>. 当翻译人员提交翻译时,从来没有验证过不包含此类内容,虽然示例很容易捕捉,但可能会做更复杂、更难发现的事情。

结束
标签: plugin-development   theme-development   security   translation   小码农  

相关推荐

Security and Must Use Plugins

从codex article 必须使用插件:只需将文件上载到mu插件目录即可启用,无需登录我觉得这是一个潜在的安全问题。在站点上运行插件中的任何代码之前,必须通过管理面板激活常规插件。我一直认为这是一个明智的安全预防措施,因为攻击者如果能够以某种方式将文件上载到plugins文件夹,则在运行代码之前,还必须访问和修改数据库。这个mu-plugins 文件夹似乎提供了一种简单的方法来避免这种情况。我知道WordPress开发人员比我更了解安全性,所以我想知道是否有人能解释为什么这不是一个安全漏洞。