Por que o javascript é permitido no meu conteúdo da postagem?

9

O códice diz que você não pode adicionar javascript no conteúdo da postagem

https://codex.wordpress.org/Using_Javascript

Mas eu posso. Desliguei todos os plugins e mudei para o tema vinte e dezesseis, mas sem sucesso - ainda posso adicionar javascript, através do conteúdo da postagem, e executá-lo no frontend. Não quero que ninguém seja capaz de adicionar javascript através do conteúdo da postagem (exceto oembed etc.) por motivos de segurança.

Alguém já experimentou isso ou tem alguma idéia para ajudar?

obrigado

filters javascript capabilities post-content arthurrandom
fonte
Eu acho que se você tiver o recurso unfiltered_html, poderá usar o JS. Teste um login no nível de editor e autor para garantir que usuários não administradores não possam.
Andy Macaulay-Brook
Ahhh, você está certo, obrigado. Autores e colaboradores não podem fazer isso. Você tem alguma idéia de como filtrar o script para administradores e editores? Não sei se devo adicionar uma edição a esta pergunta ou fazer uma nova.
Arthurrandom
Vou adicionar uma resposta e incluir isso. Tenha paciência comigo - estou fazendo isso no meu telefone.
Andy Macaulay-Brook

Respostas:

10

Se você tiver o recurso unfiltered_html, poderá usar o JS. Administradores e editores têm esse recurso por padrão.

Pessoalmente, uso um plug-in para controlar com precisão os recursos de meus usuários, mas você pode fazer essa alteração facilmente no código:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Os recursos são armazenados na tabela de opções db, portanto, tecnicamente, você não precisa executar isso repetidamente. Talvez faça um pequeno plugin e coloque isso no gancho de ativação.

Não esqueça que os administradores podem contornar isso carregando seu próprio código e editando diretamente as opções de função. Eu nunca deixo alguém ter o papel de administrador, a menos que eu esteja feliz por eles fazerem alguma coisa.

Andy Macaulay-Brook
fonte
Homem perfeito, obrigado :) Fora de interesse, qual plugin você usa para o controle preciso?
Arthurrandom
Sem problemas! Membros de Justin Tadlock. Está no repositório de plugins. Realiza o trabalho muito bem, incluindo a criação de funções personalizadas e a restrição de conteúdo.
Andy Macaulay-Brook