¿Por qué se permite javascript en el contenido de mi publicación?

9

El códice dice que no puede agregar javascript en el contenido de la publicación

enlace

Pero yo puedo. Desactivé todos los complementos y cambié al tema veintiséis dieciséis, pero sin éxito, todavía puedo agregar javascript, a través del contenido de la publicación, y hacer que se ejecute en la interfaz. No quiero que nadie pueda agregar javascript a través del contenido de la publicación (aparte del artículo, etc.) por razones de seguridad.

¿Alguien ha experimentado esto o tiene alguna idea para ayudar?

Gracias

    
pregunta arthurrandom 04.08.2016 - 20:41

1 respuesta

10

Si tiene la capacidad de unfhttered_html, entonces puede usar JS. Los administradores y editores tienen esta capacidad de forma predeterminada.

Personalmente uso un complemento para controlar con precisión las capacidades de mis usuarios, pero puedes hacer este cambio fácilmente en el código:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Las capacidades se almacenan en la tabla de opciones db, por lo que técnicamente no es necesario ejecutar esto repetidamente. Tal vez hazte un pequeño plugin y ponlo en el gancho de activación.

No olvide que los administradores podrían evitarlo al cargar su propio código y luego editar directamente las opciones de rol. Nunca dejo que nadie tenga el rol de administrador a menos que esté feliz de que hagan algo.

    
respondido por el Andy Macaulay-Brook 04.08.2016 - 21:25

Lea otras preguntas en las etiquetas