我正在建立一个博客网站。我想阻止用户(所有用户甚至用户类型是管理员)将任何脚本标签输入到wordpress帖子中。如果用户将脚本标记输入到帖子中,则单击发布它应该向用户提供错误消息,或者只是从内容中删除脚本标记。我对wordpress不太熟悉。请建议我如何做到这一点。
提前致谢
答案 0 :(得分:0)
你可以使用这个:https://vip.wordpress.com/plugins/advanced-blacklist/
它可以将单词列入黑名单。只需将这些字词添加为<script> <SCRIPT>
答案 1 :(得分:0)
设置
define( 'DISALLOW_UNFILTERED_HTML', true );
wp-config.php中的。
为什么允许某些用户发布未经过滤的HTML?
具有管理员或编辑角色的用户可以在帖子标题,发布内容和评论中发布未经过滤的HTML。毕竟,WordPress是一种发布工具,人们需要能够包含他们需要进行通信的任何标记。具有较低权限的用户不得发布未经过滤的内容。
如果您正在对WordPress运行安全测试,请使用权限较低的用户,以便过滤所有内容。如果您担心管理员将XSS放入内容并窃取cookie,请注意所有cookie都标记为仅HTTP传递,并分为用于管理页面的特权cookie和用于公共对象页面的非特权cookie。内容永远不会在管理员中未经过滤显示。无论如何,管理员具有广泛的超级权力,其中未经过滤的HTML是较小的权力。
在WordPress Multisite中,只有超级管理员可以发布未经过滤的HTML,因为所有其他用户都被视为不受信任。
要为所有用户(包括管理员)停用未经过滤的HTML,您可以将
define( 'DISALLOW_UNFILTERED_HTML', true );添加到wp-config.php。