web-dev-qa-db-fra.com

Que filtrent vraiment unfiltered_html et unfiltered_upload?

Parmi WordPress ' functions are unfiltered_html et unfiltered_upload, cependant, je n'ai pas encore trouvé de documentation sur ce qu'ils autorisent ou empêchent spécifiquement dans leur filtrage.

La seule mention que j'ai trouvée sur le site de WordPress à propos de unfiltered_html est:

Permet à l'utilisateur de publier du balisage HTML ou même du code JavaScript dans des pages, des publications, des commentaires et des widgets.

J'ai vu que JavaScript est filtré pour les non-administrateurs, mais quel HTML est filtré?

Et pour unfiltered_upload:

Cette fonctionnalité n’est disponible pour aucun rôle par défaut (y compris les Super Admins). La fonctionnalité doit être activée en définissant la constante suivante:

define( 'ALLOW_UNFILTERED_UPLOADS', true );

Avec cette constante définie, la capacité unfiltered_upload peut être attribuée à tous les rôles sur une installation sur un seul site, mais seuls les super-administrateurs peuvent utiliser la même installation sur plusieurs sites.

Et encore une fois, la description n'énonce pas ce qui est permis et ce qui est filtré.

Quelqu'un peut-il me dire exactement quels éléments, codes ou types de fichiers autorisent ou empêchent les capacités unfiltered_html et unfiltered_upload?

7
j08691

Il est difficile de trouver precise answer car les capacités sont souvent utilisées plus largement qu'elles ne le supposent. Par exemple, vérifier pour manage_options est généralement synonyme de vérifier pour un utilisateur admin et peut apparaître dans des contextes qui n'ont pas grand-chose à voir avec options .

Habituellement il y aura une différence entre le contenu soumis ou non passant par wp_kses() . Les paramètres spécifiques à kses et ce qui est considéré comme autorisé dépendent du contexte et peuvent être méfiants.

Pour unfiltered_upload, autant que je m'en souvienne, c'est plus simple. Sans cela, seuls les types de fichiers figurant sur la liste blanche sont autorisés. La liste est basée sur wp_get_mime_types() .

6
Rarst

Je comprends que c’est un vieux fil de discussion, mais la restriction de unfiltered_html nous causait d’énormes problèmes sur notre site d’actualités.

Les rédacteurs internes (une catégorie particulière d’utilisateurs) sont tenus de placer des photos et des vidéos dans leur histoire. Bien que les photos ne posent pas de problème, l'incorporation d'iframe dans la page avec le code vidéo intégré a vu le code incorporé disparaître lors de l'enregistrement de leurs histoires.

Si la vidéo était intégrée pour eux par un éditeur, les auteurs perdraient toujours le iframe lorsqu’ils sauvegardaient leurs récits.

En débloquant unfiltered_html, les rédacteurs de notre personnel peuvent intégrer le contenu vidéo et mettre correctement leur message en place.

En ce qui concerne unfiltered_uploads, je crois que la réponse a été donnée.

J'espère que ça aide quelqu'un.

3
John Le Fevre