O que unfiltered_html e unfiltered_upload realmente filtram?

8

Entre os recursos do WordPress estão unfiltered_htmle unfiltered_upload, no entanto, ainda não encontrei nenhuma documentação sobre o que especificamente eles permitem ou impedem na filtragem.

A única menção que encontrei no site do WordPress unfiltered_htmlé:

Permite que o usuário publique marcação HTML ou mesmo código JavaScript em páginas, postagens, comentários e widgets.

Vi que o JavaScript é filtrado para não administradores, mas que HTML está sendo filtrado?

E para unfiltered_upload:

Por padrão, esse recurso não está disponível para nenhuma função (incluindo Superadministradores). O recurso precisa ser ativado, definindo a seguinte constante:

define( 'ALLOW_UNFILTERED_UPLOADS', true );

Com essa constante definida, todas as funções em uma única instalação do site podem receber o recurso unfiltered_upload, mas apenas os Superadministradores podem receber o recurso em uma instalação Multisite.

E, novamente, a descrição não especifica o que é permitido e o que é filtrado.

Alguém pode me dizer exatamente quais elementos, código ou tipo de arquivo os recursos unfiltered_htmle unfiltered_uploadpermitem ou impedem?

user-roles capabilities j08691
fonte

Respostas:

7

É difícil encontrar respostas precisas, pois os recursos são frequentemente usados ​​de forma mais ampla do que implicam. Por exemplo, procurar por manage_optionsgeralmente é sinônimo de procurar usuário administrador e pode aparecer em contextos que não têm muito a ver com opções .

Normalmente , haverá uma diferença entre a passagem do conteúdo do assunto ou a não sua passagem wp_kses(). Configurações específicas do kses e o que é considerado permitido dependeriam do contexto e podem ser cautelosos.

Pelo unfiltered_uploadque me lembro, é mais direto. Sem ele, apenas os tipos de arquivos listados em branco são permitidos. A lista é baseada em wp_get_mime_types().

Rarst
fonte
1
No arquivo, wp-includes/kses.phpvocê pode encontrar os valores iniciais $allowedposttagse $allowedtagsmatrizes usados ​​pelas funções kses.
Milo
Obrigada pelo esclarecimento. Parece que os tipos MIME para upload podem ser encontrados em core.trac.wordpress.org/browser/tags/4.3/src/wp-includes/… . Alguma idéia de onde está o código que faz referência unfiltered_html?
J08691
unfiltered_htmlestá espalhado por toda a base de código. A pesquisa rápida de fontes contém mais de uma dúzia de arquivos diferentes.
Rarst
Alguém pode trabalhar nisso. Atualmente, é um pesadelo impossível fazer upload de mídias não incluídas na lista de permissões. Nenhum dos plugins funciona corretamente. Wordpress é um CMS - sim, certo. É um sistema de gerenciamento de conteúdo MIS.
21717 Jim Maguire
1
essa pergunta literalmente salvou nossas vidas, estamos procurando por dias uma solução para o problema que foi espalhado. Temos um tipo de postagem personalizado que deve ser operado por clientes que estão gerando suas postagens com scripts ativos e arquivos SVG e, , o problema não estava em salvar as postagens, o problema era que o WP as retirava completamente,. Isso nos deu direção certa e direito capde usar, graças
Kresimir Pendic
4

Compreendo que este é um tópico antigo, mas o unfiltered_html restrito estava nos causando enormes problemas em nosso site de notícias.

Os escritores internos (uma classe especial de usuário) são obrigados a colocar fotos e vídeos em sua história. Embora as fotos não sejam um problema, a incorporação de iframe na página com o código de vídeo incorporado viu o código incorporado desaparecer ao salvar suas histórias.

Se o vídeo fosse incorporado a eles por um editor, os escritores ainda perderiam o iframe quando salvassem suas histórias.

Ao desbloquear unfiltered_html, nossos escritores da equipe podem incorporar o conteúdo do vídeo e organizar sua postagem corretamente.

Quanto aos unfiltered_uploads, acredito que isso tenha sido respondido.

Espero que isso ajude alguém.

John Le Fevre
fonte