阻止用户将脚本输入wordpress post
Prevent user to input the script into wordpress post
我正在做一个博客网站。我想防止用户(所有用户,甚至用户类型是管理员)在wordpress帖子中输入任何脚本标记。如果用户在帖子中输入了script标记,那么单击发布时,它应该向用户提供错误消息,或者简单地从内容中删除script标记。我对文字出版社不太熟悉。请建议我怎么做。
提前感谢
您可以使用这个:https://vip.wordpress.com/plugins/advanced-blacklist/它可以将单词列入黑名单。只需将单词添加为<script>
<SCRIPT>
设置
define( 'DISALLOW_UNFILTERED_HTML', true );
在CCD_ 3中是推荐的方法。
为什么允许某些用户发布未经过滤的HTML
具有管理员或编辑角色的用户可以在帖子标题、帖子内容和评论中发布未经过滤的HTML。毕竟,WordPress是一种发布工具,人们需要能够包含他们需要交流的任何标记。权限较低的用户不允许发布未经过滤的内容。
如果你正在针对WordPress运行安全测试,请使用权限较低的用户,以便过滤所有内容。如果您担心管理员将XSS放入内容并窃取cookie,请注意,所有cookie都标记为仅HTTP传递,并分为用于管理页面的特权cookie和用于面向公众页面的非特权cookie。内容从不在管理员中未经过滤显示。无论如何,管理员拥有广泛的超能力,其中未经过滤的HTML是一种较弱的超能力。
在WordPress多站点中,只有超级管理员可以发布未经过滤的HTML,因为所有其他用户都被认为是不可信的。
要为包括管理员在内的所有用户禁用未筛选的HTML,可以将
define( 'DISALLOW_UNFILTERED_HTML', true );
添加到wp-config.php
。
https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/#why-是否允许一些用户发布未经过滤的html
- 为什么不't Javascript对我的输入值进行了一些重新检查
- 可以't让我的if语句处理js中的html表单输入
- 名称输入的索引
- 如何编写HTML输入的JS内联
- 要求输入在数据列表中
- 将输入字段中的文本提交到我的数据库,同时将其添加到我的列表中
- 让文本输入幻灯片显示输入时的新文本输入?然后向后滑动
- 如何将输入(type=text)从html表单传递到javascript函数
- 单击jquery清除输入值
- 而循环只设置php中输入字段中的第一个值
- 在输入字段中将最小金额设置为
- jQuery自定义验证比较多个输入的序列
- Sails.js:同时发布文本输入和一个文件
- 使用javascript检查多个输入值,并在1次检查中标记多个输入框
- 如何在输入字段中的按钮的帮助下打开日历,该字段的类型为“=”;日期”;
- 阻止用户将脚本输入wordpress post
- WordPress TinyMCE自定义按钮与输入类型编号
- Ajax:将复选框功能转换为Wordpress中的输入字段和更新按钮
- 获取wordpress中输入字段的实时值
- 使用jQuery在wordpress中将文本输入更改为select