Pourquoi javascript est-il autorisé dans le contenu de mon message?

9

Le codex indique que vous ne pouvez pas ajouter de javascript dans le contenu du message

enlace

Mais je peux. J'ai désactivé tous les plugins et changé pour le thème vingt-six ans, mais en vain - je peux toujours ajouter du javascript, via le contenu du message, et le faire fonctionner en mode frontal. Pour des raisons de sécurité, je ne souhaite pas que quiconque puisse ajouter du javascript dans le contenu du message (à l'exception de Oembed, etc.).

Quelqu'un at-il vécu cette expérience ou avez-vous des idées pour vous aider?

Merci

    
posée arthurrandom 04.08.2016 - 20:41

1 réponse

10

Si vous avez la capacité unfiltered_html, vous pouvez utiliser JS. Les administrateurs et les éditeurs ont cette capacité par défaut.

Personnellement, j'utilise un plugin pour contrôler avec précision les fonctionnalités de mes utilisateurs, mais vous pouvez facilement effectuer cette modification dans le code:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Les fonctionnalités sont stockées dans la table des options, vous n'avez donc pas besoin de l'exécuter à plusieurs reprises. Peut-être faites-vous un petit plugin et mettez-le sur le crochet d'activation.

N'oubliez pas que les administrateurs peuvent contourner ce problème en chargeant leur propre code, puis en modifiant directement les options du rôle. Je ne laisse jamais personne jouer le rôle d'administrateur, sauf si je suis heureux qu'ils fassent quoi que ce soit.

    
réponse donnée Andy Macaulay-Brook 04.08.2016 - 21:25

Lire d'autres questions sur les étiquettes