¿Por qué se permite JavaScript en el contenido de mi publicación?

9

El códice dice que no puede agregar javascript en el contenido de la publicación

https://codex.wordpress.org/Using_Javascript

Pero yo puedo. Desactivé todos los complementos y cambié al tema veinte y dieciséis, pero fue en vano: todavía puedo agregar JavaScript, a través del contenido de la publicación, y ejecutarlo en la interfaz. No quiero que nadie pueda agregar javascript a través del contenido de la publicación (aparte de oembed, etc.) por razones de seguridad.

¿Alguien ha experimentado esto o tiene alguna idea para ayudar?

Gracias

filters javascript capabilities post-content arthurrandom
fuente
Yo creo que si usted tiene la capacidad de unfiltered_html entonces puede utilizar JS. Pruebe un editor y un inicio de sesión a nivel de autor para asegurarse de que los usuarios que no son administradores no pueden.
Andy Macaulay-Brook
Ahhh tienes razón gracias. Los autores y colaboradores no pueden hacerlo. ¿Tienes alguna idea de cómo filtrar el script para administradores y editores? No sé si agregar una edición a esta pregunta o hacer una nueva.
arthurrandom
Agregaré una respuesta e incluiré eso. Ten paciencia conmigo, estoy haciendo esto desde mi teléfono.
Andy Macaulay-Brook

Respuestas:

10

Si tiene la capacidad unfiltered_html, puede usar JS. Los administradores y editores tienen esta capacidad por defecto.

Personalmente, uso un complemento para un control preciso de las capacidades de mis usuarios, pero puedes hacer este cambio fácilmente en el código:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Las capacidades se almacenan en la tabla db de opciones, por lo que técnicamente no necesita ejecutar esto repetidamente. Tal vez haga un pequeño complemento y colóquelo en el gancho de activación.

No olvide que los administradores podrían evitar esto cargando su propio código y luego editando directamente las opciones de rol. Nunca dejo que nadie tenga el rol de administrador a menos que esté feliz de que hagan algo.

Andy Macaulay-Brook
fuente
Hombre perfecto, gracias :) Fuera de interés, ¿qué complemento utilizas para el control fino?
arthurrandom
¡No hay problema! Miembros de Justin Tadlock. Está en el repositorio de complementos. Hace un trabajo realmente bien, incluida la creación de roles personalizados y la restricción de contenido.
Andy Macaulay-Brook