Русский
ru

Как остановить WordPress от удаления тегов <script> при переключении с HTML на Визуальный редактор (TinyMCE)

2 окт. 2012 г., 16:17:21
Просмотры: 21.5K
Голосов: 3

Хорошо, я видел решения, которые частично устраняют эту проблему, но ничего окончательного и ничего, что на 100% решает мою проблему.

Сценарий:

  • В режиме HTML я добавляю JavaScript в редактируемую запись.
  • Я переключаюсь на Визуальный режим, затем обратно в HTML, и тег <script> вместе со всем его содержимым исчезает.

Как остановить это? Я пытался добавить пользовательский код в functions.php, пытаясь получить доступ к extended_valid_elements для TinyMCE, но ничего не работает.

Пожалуйста, помогите!

теги tinymce
6
Комментарии

Вы используете WordPress как одиночную установку или в режиме мультисайта?

Matthew Boynes Matthew Boynes
2 окт. 2012 г. 16:25:29

Это по сути зияющая дыра в безопасности, которую вы пытаетесь открыть

Tom J Nowell Tom J Nowell
2 окт. 2012 г. 16:32:46

Зачем вам это нужно?

Tom J Nowell Tom J Nowell
2 окт. 2012 г. 18:55:26

Привет, основная причина, по которой я хочу это сделать, заключается в том, что на нескольких моих сайтах я часто вставляю код Google Adsense в тело постов. CPC таким образом значительно выше, и я часто экспериментирую с разными рекламными блоками. Страницы, содержащие JS-код Adsense, часто редактируются в визуальном режиме, и это так раздражает, что мне приходится постоянно копировать и вставлять JS-код обратно, когда он удаляется. Я понимаю опасения по поводу безопасности, но если мой логин будет взломан, это откроет гораздо больше проблем, чем просто вопросы с JS — сам факт взлома будет огромной проблемой.

pixelkicks pixelkicks
2 окт. 2012 г. 23:06:16

Тогда получается, что вы просите исправить ваш костыль. Правильный вопрос звучал бы как "как добавить Adsense в середину постов", и правильным ответом было бы использование шорткода. Таких решений множество, и, скорее всего, кто-то уже опубликовал бы кастомный вариант, а вы получили бы репутацию за хороший вопрос и несколько значков за заметный вклад. Вместо этого вы спросили, как вставить произвольный JavaScript в содержимое поста, и в ответ вам сказали, что это плохая практика и серьезная дыра в безопасности.

Tom J Nowell Tom J Nowell
3 окт. 2012 г. 01:44:35

Ого, мистер Ноуэлл, полегче. Значит, нам нельзя спрашивать, как расширить возможности WordPress? Нам запрещено копать глубже и исследовать, на что способна система? Знание — сила, мой друг, и я хочу знать как ограничения, так и возможности. Я вполне могу сам принимать решения по безопасности — и, как я уже сказал, в данный момент я единственный, у кого есть доступ к админке. Если кто-то все же получит доступ к моим учетным данным, что мешает им установить плагины вроде PHP-Exec или что-то подобное, независимо от возможности добавления JavaScript в пост, что, на мой взгляд, менее опасно?

pixelkicks pixelkicks
3 окт. 2012 г. 12:24:26
Показать остальные 1 комментариев
Все ответы на вопрос 5
0
6

Это можно довольно легко сделать, предоставив возможность unfiltered_html для любой роли, которой вы хотите разрешить использование тегов SCRIPT и IFRAME. Очевидно, как уже отмечали другие, это несёт в себе определённые риски безопасности, поэтому подходите к этому осмотрительно.

Чтобы узнать больше о предоставлении возможностей, см. запись в WordPress Codex о функции add_cap().

2 сент. 2016 г. 18:39:02
10
4

Добавление JavaScript прямо в контент — это очень, очень плохая практика, которая просто приглашает взломщиков.

Лучше используйте шорткод, а если очень нужно, сохраняйте JS в произвольных полях (post meta/custom fields) и выводите его после контента в шаблоне с помощью echo get_post_meta($post->ID,'post_javascript',true );

2 окт. 2012 г. 16:35:07
Комментарии

Том, думаю, будет очень полезно, если ты сможешь привести конкретные доказательства, почему это плохая практика и почему это приглашение для хакеров!

Matthew Boynes Matthew Boynes
2 окт. 2012 г. 17:47:29

потому что любой может вставить что угодно в ваш контент — будь то код, заставляющий ссылки мигать, или скрипт для скрытой загрузки вредоносного ПО. Любой, кто имеет доступ к вашей базе данных или права на редактирование записей, может использовать ваш сайт для распространения вредоносного JavaScript

Tom J Nowell Tom J Nowell
2 окт. 2012 г. 18:54:21

Это также смешивает контент/данные с функциональностью/контроллерами и делает ваш контент непереносимым между темами, так как смена темы может сломать содержимое.

Tom J Nowell Tom J Nowell
2 окт. 2012 г. 18:55:06

например: "Привет, это мой первый пост в блоге! <script>window.location="www.hackme.com/installtrojan";</script>"

Tom J Nowell Tom J Nowell
2 окт. 2012 г. 18:56:23

Я бы сказал, что "любой, у кого есть доступ к вашей базе данных или права на редактирование записей", может испортить вам день в любом случае, и реализация этого через шорткод или мета-данные записи не даст никакой разницы в безопасности. Также я не вижу, чтобы шорткоды или мета-данные записей разделяли контент/данные и функциональность/контроллеры больше, чем то, о чем спрашивает @Buckers. Думаю, это хорошая стандартная практика для WordPress, не поймите меня неправильно, но лично я не вижу вреда в переопределении этого поведения при осознанном согласии, равно как и не вижу преимуществ в безопасности или ортогональности в том, что вы предлагаете. Но, возможно, я что-то упускаю?

Matthew Boynes Matthew Boynes
2 окт. 2012 г. 21:15:12

С шорткодом я не могу просто вставить любой старый JS, я могу вставить только тот JS, который вы предполагаете, так как для добавления нового JS-кода мне потребуется доступ к PHP-файлам, реализующим этот шорткод. По той же причине добавление PHP в контент записи является ужасной практикой с точки зрения безопасности, но это не означает, что вы не можете использовать PHP для реализации шорткодов (я вовсе не выступаю за реализацию шорткодов вида [js][/js], они тоже плохие)

Tom J Nowell Tom J Nowell
2 окт. 2012 г. 21:41:34

Также мы до сих пор не знаем, зачем это нужно автору вопроса

Tom J Nowell Tom J Nowell
2 окт. 2012 г. 21:42:31

Ах, извините, я неправильно истолковал ваше предложение. Теперь я понял: вы говорите об использовании шорткодов или метаданных записи для сбора параметров, а не самого JS, например, указания ID, URL изображения и т.д. Вы правы, ответ кардинально меняется в зависимости от того, чего именно хочет добиться @Buckers!

Matthew Boynes Matthew Boynes
2 окт. 2012 г. 22:32:27

Я добавил ответ к своему первоначальному сообщению с основным требованием. В настоящее время только у меня есть доступ администратора к сайту. Несмотря на проблемы безопасности, мне просто хотелось бы знать, возможно ли это сделать - и судя по ответу, похоже, что да.

pixelkicks pixelkicks
2 окт. 2012 г. 23:08:52

Это возможно, так же, как и управлять автомобилем, взрывая его сзади для движения вперед, или пропускать большие посылки через почтовый ящик, сняв входную дверь. Если вам нужен простой способ вставки произвольных кодов AdSense в контент, есть гораздо более эффективные методы. Ищите решение вашей проблемы, а не заплатку для вашего сломанного решения.

Tom J Nowell Tom J Nowell
3 окт. 2012 г. 01:48:20
Показать остальные 5 комментариев
9
2

Без необходимости возиться с PHP-кодом шаблонов, вы можете обойти проблему, описанную в оригинальном посте, а также проблему, когда в мультисайтах никто, кроме супер-администратора, не получает возможность unfiltered_html, упомянутую @Tom Auger, установив плагин "Shortcoder". Он позволяет создавать "пользовательские шорткоды", которые просто выводят некоторый текст. Это может быть что угодно, включая JavaScript.

Я создаю "пользовательский шорткод" для каждого фрагмента кода, который мне нужен (обычно один для каждого уникального пользовательского кода на странице), и визуальный редактор видит этот шорткод и не удаляет его.

Это также отличное решение для повторного использования JavaScript-кода, если у вас есть несколько страниц, которым нужен один и тот же (или похожий) код.

9 мар. 2017 г. 18:39:24
Комментарии

Это звучит очень небезопасно для мультисайта (все, что позволяет вводить нефильтрованный HTML, является таковым), и в любом случае, похоже, больше не поддерживается автором.

Mark Kaplun Mark Kaplun
9 мар. 2017 г. 19:43:47

@MarkKaplun - Не уверен, почему вы говорите, что плагин не поддерживается. Он не обновлялся недавно, но, скорее всего, потому что автор занят другими делами (см. его сообщения в других форумах). В любом случае, он отлично работает на версии 4.7.

Guss Guss
9 мар. 2017 г. 19:48:09

Что касается безопасности - я часто вижу здесь ответы вроде "это или то небезопасно, поэтому не делайте так". Думаю, отвечающие должны прекратить навязывать свою модель безопасности другим пользователям. Если администратор решил установить плагин и сделать его доступным, я предполагаю, что он учел вопросы безопасности. В моей WPMS-установке все пользователи доверенные (я создаю их вручную), поэтому если я выбираю сделать плагин Shortcoder доступным, это значит, что я рассмотрел вопросы безопасности, и они в порядке. Ожидаю, что большинство WPMS-установок относятся к той же категории.

Guss Guss
9 мар. 2017 г. 19:50:51

99,9% пользователей WordPress не имеют ни малейшего понятия о последствиях для безопасности своих действий. Пользователям никогда нельзя доверять, проблема в том, что вы осознаете это только постфактум, когда восстановиться будет крайне сложно.

Mark Kaplun Mark Kaplun
9 мар. 2017 г. 20:12:37

Что касается плагина - если автор не удосужился обновить файл readme, указав совместимость с версией, выпущенной 3 месяца назад, это хороший индикатор того, что он потерял интерес к разработке плагина.

Mark Kaplun Mark Kaplun
9 мар. 2017 г. 20:14:31

Поскольку установка WPMS настолько сложна (требуется редактирование нетривиальных конфигурационных файлов), я склонен утверждать, что уровень администраторов WPMS несколько выше среднего редактора WP. В лучшем случае вы можете объяснить последствия для безопасности (кстати, вы так и не объяснили, почему считаете Shortcoder проблемой для мультисайтов). Что касается поддержки - я считаю ваши выводы несколько натянутыми - лично я поддерживаю несколько плагинов WordPress и у меня обычно нет времени тестировать их на каждой новой версии WordPress, иногда даже раз в год.

Guss Guss
9 мар. 2017 г. 20:17:32

И просто для вашего понимания, почему пользователям не доверяют, даже если вы знаете их лично... Вы действительно уверены, что они не используют пароль "123456"? Разрешают ли они своему племяннику пользоваться их компьютером и т.д.? Вы ограничиваете пользователей не потому, что они могут быть плохими людьми, а чтобы минимизировать векторы для нарушения безопасности, которое повлияет не только на их аккаунт.

Mark Kaplun Mark Kaplun
9 мар. 2017 г. 20:18:00

Давайте продолжим это обсуждение в чате.

Guss Guss
9 мар. 2017 г. 20:18:41

Для меня unfiltered_html решил проблему. Спасибо.

ako ako
16 нояб. 2020 г. 13:58:47
Показать остальные 4 комментариев
0
1

По состоянию на 2024 год вы можете разрешить нефильтрованный HTML в файле wp-config.php, установив DISALLOW_UNFILTERED_HTML в false следующим образом:

define( 'DISALLOW_UNFILTERED_HTML', false );

Что касается вопросов безопасности: Включение нефильтрованного HTML путем установки DISALLOW_UNFILTERED_HTML в false требует доверия к вашим администраторам и осведомленности о безопасности, так как это позволяет им вставлять потенциально вредоносный код. Однако, если хакер получит доступ к вашему WordPress, последствия для безопасности будут серьезными независимо от этого параметра.

21 февр. 2024 г. 12:50:16
0
0

Также есть решение для тех, у кого установлен плагин Elementor и кто не хочет устанавливать дополнительные плагины:

  1. В админ-меню перейдите в раздел Шаблоны > Добавить новый
  2. Выберите тип шаблона "Контейнер" и дайте ему любое подходящее название, чтобы позже можно было легко найти ваш код для редактирования (если потребуется).
  3. На экране редактора Elementor нажмите на знак +, чтобы добавить контейнер, и поместите внутрь виджет HTML-кода.
  4. Вставьте ваш скрипт в HTML-блок. (Обратите внимание, что он должен быть заключен в теги <script></script>)
  5. Сохраните и вернитесь к списку контейнеров. (Шаблоны > Сохраненные шаблоны > Контейнеры)
  6. Найдите только что созданный шаблон и скопируйте его шорткод из соответствующего поля.
  7. Вставьте этот шорткод в любой текстовый редактор и наслаждайтесь.
9 янв. 2024 г. 13:33:29
Похожие вопросы
meta_query по ключу и значению из массива
2
ответов
Как программно изменить шаблон страницы?
5
ответов
Как получить заголовок категории записи внутри цикла?
1
ответов
Ajax запрос в админке возвращает 0 при использовании die()
3
ответов
WooCommerce изменяет ссылку сброса забытого пароля
3
ответов
Как полностью отключить архив таксономии на фронтенде?
4
ответов