Pourquoi le javascript est-il autorisé dans le contenu de mon message?

Question

Le codex indique que vous ne pouvez pas ajouter de javascript dans le contenu du message

https://codex.wordpress.org/Using_Javascript

Mais je peux. J'ai désactivé tous les plugins et changé pour le thème vingt-six ans, mais en vain - je peux toujours ajouter du javascript, via le contenu du message, et le faire fonctionner en mode frontal. Pour des raisons de sécurité, je ne souhaite pas que quiconque puisse ajouter du javascript dans le contenu du message (sauf oembed, etc.).

Est-ce que quelqu'un a vécu cela ou a des idées pour vous aider?

Merci

Andy Macaulay-Brook · Accepted Answer

Si vous avez la capacité unfiltered_html, vous pouvez utiliser JS. Les administrateurs et les éditeurs disposent de cette fonctionnalité par défaut.

Personnellement, j'utilise un plugin pour un contrôle précis des capacités de mes utilisateurs, mais vous pouvez facilement effectuer cette modification dans le code:

 $role = get_role( 'administrator' ); $role->remove_cap( 'unfiltered_html' ); $role = get_role( 'editor' ); $role->remove_cap( 'unfiltered_html' );

Les fonctionnalités sont stockées dans la table des bases d’options, donc techniquement, il n’est pas nécessaire de l’exécuter de manière répétée. Peut-être faites-vous un petit plugin et mettez-le sur le crochet d'activation.

N'oubliez pas que les administrateurs peuvent contourner ce problème en chargeant leur propre code, puis en modifiant directement les options du rôle. Je ne laisse jamais personne jouer le rôle d'administrateur, sauf si je suis heureux qu'ils fassent quoi que ce soit.