我正在做一个博客网站。我想防止用户(所有用户,甚至用户类型是管理员)在wordpress帖子中输入任何脚本标记。如果用户在帖子中输入了script标记,那么单击发布时,它应该向用户提供错误消息,或者简单地从内容中删除script标记。我对文字出版社不太熟悉。请建议我怎么做。
提前感谢
您可以使用这个:https://vip.wordpress.com/plugins/advanced-blacklist/它可以将单词列入黑名单。只需将单词添加为<script> <SCRIPT>
设置
define( 'DISALLOW_UNFILTERED_HTML', true );
在CCD_ 3中是推荐的方法。
为什么允许某些用户发布未经过滤的HTML
具有管理员或编辑角色的用户可以在帖子标题、帖子内容和评论中发布未经过滤的HTML。毕竟,WordPress是一种发布工具,人们需要能够包含他们需要交流的任何标记。权限较低的用户不允许发布未经过滤的内容。
如果你正在针对WordPress运行安全测试,请使用权限较低的用户,以便过滤所有内容。如果您担心管理员将XSS放入内容并窃取cookie,请注意,所有cookie都标记为仅HTTP传递,并分为用于管理页面的特权cookie和用于面向公众页面的非特权cookie。内容从不在管理员中未经过滤显示。无论如何,管理员拥有广泛的超能力,其中未经过滤的HTML是一种较弱的超能力。
在WordPress多站点中,只有超级管理员可以发布未经过滤的HTML,因为所有其他用户都被认为是不可信的。
要为包括管理员在内的所有用户禁用未筛选的HTML,可以将
define( 'DISALLOW_UNFILTERED_HTML', true );添加到wp-config.php。
https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/#why-是否允许一些用户发布未经过滤的html