Mengapa javascript diizinkan di konten posting saya?

9

Kodeks mengatakan Anda tidak dapat menambahkan javascript dalam konten posting

https://codex.wordpress.org/Using_Javascript

Tapi aku bisa. Saya telah mematikan semua plugin dan mengubah ke tema Twentysixteen, tetapi tidak berhasil - saya masih dapat menambahkan javascript, melalui konten posting, dan menjalankannya di frontend. Saya tidak ingin ada orang yang dapat menambahkan javascript melalui konten posting (selain oembed dll) untuk alasan keamanan.

Adakah yang mengalami ini atau punya ide untuk membantu?

Terima kasih

arthurrandom
sumber
Saya pikir jika Anda memiliki kemampuan unfiltered_html maka Anda dapat menggunakan JS. Uji login tingkat editor dan penulis untuk meyakinkan diri Anda bahwa pengguna non-admin tidak bisa.
Andy Macaulay-Brook
Ahhh kamu benar terima kasih. Penulis dan kontributor tidak dapat melakukannya. Apakah Anda tahu cara memfilter skrip untuk admin dan editor? Saya tidak tahu apakah harus menambahkan suntingan ke pertanyaan ini atau bertanya yang baru.
arthurrandom
Saya akan menambahkan jawaban dan memasukkannya. Bersabarlah - saya melakukan ini dari ponsel saya.
Andy Macaulay-Brook

Jawaban:

10

Jika Anda memiliki kemampuan unfiltered_html maka Anda dapat menggunakan JS. Admin dan editor memiliki kemampuan ini secara default.

Secara pribadi saya menggunakan plugin untuk kontrol yang baik atas kemampuan pengguna saya, tetapi Anda dapat membuat perubahan ini dengan mudah dalam kode:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Kemampuan disimpan dalam tabel opsi db, jadi secara teknis Anda tidak perlu melakukan ini berulang kali. Mungkin buat sendiri plugin kecil dan letakkan ini di kait aktivasi.

Jangan lupa bahwa admin dapat mengelak dari ini dengan memuat kode mereka sendiri dan kemudian secara langsung mengedit opsi peran. Saya tidak pernah membiarkan siapa pun memiliki peran admin kecuali saya senang mereka melakukan sesuatu.

Andy Macaulay-Brook
sumber
Pria yang sempurna terima kasih :) Tidak tertarik plugin apa yang Anda gunakan untuk kontrol yang baik?
arthurrandom
Tidak masalah! Anggota oleh Justin Tadlock. Ada dalam repositori plugin. Melakukan satu pekerjaan dengan sangat baik termasuk membuat peran khusus dan membatasi konten.
Andy Macaulay-Brook