Bộ lọc uniltered_html và unsiltered_upload thực sự là gì?

Trong WordPress' khả năng là unfiltered_htmlvà unfiltered_upload, tuy nhiên tôi vẫn chưa tìm thấy bất kỳ tài liệu về những gì cụ thể họ cho phép hoặc ngăn chặn kịp lọc của họ.

Sự đề cập duy nhất tôi tìm thấy trên trang web của WordPress unfiltered_htmllà:

Cho phép người dùng đăng đánh dấu HTML hoặc thậm chí mã JavaScript trong các trang, bài đăng, nhận xét và widget.

Tôi đã thấy rằng JavaScript được lọc ra cho những người không phải quản trị viên, nhưng HTML nào đang được lọc?

Và cho unfiltered_upload:

Khả năng này không có sẵn cho bất kỳ vai trò nào theo mặc định (bao gồm Siêu quản trị viên). Khả năng cần phải được kích hoạt bằng cách xác định hằng số sau:
define( 'ALLOW_UNFILTERED_UPLOADS', true );
Với hằng số được xác định này, tất cả các vai trò trong một cài đặt trang web có thể được cung cấp khả năng tải không được lọc, nhưng chỉ có Quản trị viên mới có thể được cung cấp khả năng trên cài đặt Multisite.

Và một lần nữa, mô tả không đánh vần những gì được phép và những gì được lọc ra.

Ai đó có thể cho tôi biết chính xác các yếu tố, mã hoặc loại tệp mà các khả năng unfiltered_htmlvà unfiltered_uploadkhả năng cho phép hoặc ngăn chặn không?

user-roles capabilities

— j08691
nguồn

Câu trả lời:

Thật khó để đưa ra câu trả lời chính xác vì các khả năng thường được sử dụng rộng rãi hơn so với chúng. Ví dụ: kiểm tra manage_optionsthường là từ đồng nghĩa để kiểm tra người dùng quản trị viên và có thể đưa ra các bối cảnh không thực sự liên quan đến các tùy chọn .

Thông thường nó sẽ là một sự khác biệt giữa nội dung chủ đề đi qua hoặc không đi qua wp_kses(). Cài đặt ống cụ thể và những gì được coi là cho phép sẽ phụ thuộc vào ngữ cảnh và có thể cảnh giác.

Đối với unfiltered_uploadtôi nhớ nó đơn giản hơn. Không có nó chỉ có các loại tập tin được liệt kê màu trắng được cho phép. Danh sách này dựa trên wp_get_mime_types().

— Đầu tiên
nguồn

Trong tệp, wp-includes/kses.phpbạn có thể tìm thấy các giá trị ban đầu $allowedposttagsvà $allowedtagsmảng được sử dụng bởi các hàm kíp.

— Milo

Cảm ơn đã giải thích. Có vẻ như các loại MIME để tải lên có thể được tìm thấy tại core.trac.wordpress.org/browser/tags/4.3/src/wp-includes/ . Bất kỳ ý tưởng nơi mã mà tài liệu tham khảo unfiltered_htmlcó thể nằm?

— j08691

unfiltered_htmlđược tung tóe khắp cơ sở mã. Tìm kiếm nguồn nhanh trên hàng chục tập tin khác nhau đề cập đến nó.

— Hết

Ai đó có thể làm việc này Hiện tại, đó là một cơn ác mộng không thể tải lên phương tiện truyền thông không có trong danh sách trắng. Không có plugin nào hoạt động chính xác. Wordpress là một CMS - đúng rồi. Là một hệ thống MISmanagment nội dung.

— Jim Maguire

Câu hỏi này thực sự đã cứu mạng chúng tôi, chúng tôi đã tìm kiếm nhiều ngày để tìm giải pháp cho vấn đề được phát tán ,, chúng tôi có loại bài đăng tùy chỉnh phải được vận hành bởi các khách hàng đang tạo bài đăng của họ với tập lệnh hoạt động và tệp SVG và, , vấn đề không nằm ở việc lưu các bài đăng, vấn đề là WP đã loại bỏ chúng hoàn toàn. điều này đã cho chúng tôi đúng hướng và quyền capsử dụng, cảm ơn

— Kresimir Pendic

Tôi đánh giá cao đây là một chủ đề cũ, nhưng bị hạn chế không lọc_html đã gây ra cho chúng tôi những vấn đề lớn trên trang web tin tức của chúng tôi.

Các nhà văn trong nhà (một lớp người dùng đặc biệt) được yêu cầu đặt ảnh và video trong câu chuyện của họ. Mặc dù ảnh không phải là vấn đề, nhưng việc nhúng iframe vào trang có mã video được nhúng sẽ thấy mã nhúng biến mất khi họ lưu câu chuyện của mình.

Nếu người biên tập video nhúng cho họ, người viết vẫn sẽ mất iframe khi họ lưu câu chuyện của họ.

Bằng cách bỏ chặn uniltered_html, các nhà văn nhân viên của chúng tôi có thể nhúng nội dung video và sắp xếp bài đăng của họ đúng cách.

Đối với tải không được lọc_uploads, tôi tin rằng đã được trả lời.

Hy vọng điều này sẽ giúp được ai đó.

— John Le Fevre
nguồn