为什么在作者/投稿人角色的自定义字段中允许使用未过滤的html?

时间:2013-07-18 作者:George

我正在创建一个WordPress主题,它有一个自定义的textarea元盒,用于插入嵌入代码(soundcloud、bandcamp等)。我觉得我应该添加一些安全性,以阻止非管理员/编辑器用户保存可能有害的数据,但WordPress作为标准,似乎允许这些功能较低的用户在自定义字段中使用html。

对于没有unfiltered\\u html功能的用户,标准自定义字段中允许html,而主编辑区域中不允许html,这有什么原因吗?

1 个回复
最合适的回答,由SO网友:Otto 整理而成

自定义字段的名称与它所说的基本相同:Custom。大多数主题并没有以任何真实的方式显示它们,它们是为插件和主题提供的,可以对它们执行所需的操作。

在内部,我们只讨论了两件真实的事情:POST和POSTETA。显然,帖子是帖子内容的主要部分,每个人都会展示这些内容。另一方面,Posteta信息主要用于各种内部事务。通常,它不会显示在网站前端的任何位置。后期编辑屏幕上的“自定义字段”框允许(非常)基本的方法来访问该数据,但大多数人并不真正将其用于任何用途。

因为Posteta本质上是任意的,所以默认情况下过滤它没有任何意义。因为它不会显示在网站的任何地方,所以过滤它不会增加任何安全性。

如果您正在编写插件并为其添加元框,那么您需要自己进行过滤。您可以使用各种wp\\u kses函数轻松做到这一点。

结束
标签: theme-development   custom-field   user-roles   小码农  

相关推荐