我注意到,如果您是管理员或编辑器,您可以在comments (不在页面/后期编辑器中)对于管理员/编辑器角色:
<script>alert("Danger, Wil Robinson!");</script>
unfiltered_html (参见答案here ).仅对管理员/编辑角色启用;其他角色将忽略注释中的任何脚本命令。但这似乎是一种安全风险。
其他人如何看待允许在注释中使用脚本命令的这种可能的安全风险?
Added
记住,这个问题是关于评论的,以及评论中的恶意脚本如何影响访问者。在你自己的网站上尝试一下。不要登录,成为“随机”未经身份验证的访问者。将上述脚本命令放入注释中并保存。现在刷新页面,将显示警报消息(假设您没有禁用Javascript)。
您刚刚证明,评论中的恶意脚本会影响您网站的访问者。它可能不会影响您的网站,但会影响您网站的任何访问者。
现在,一些网站允许在页面/帖子中使用脚本可能会很有用。这不是这里的问题。问题是评论中的脚本,这可能会对访问者造成危险。
PROOF OF CONCEPT (added)
查看此页https://cellarweb.com/fstraptest/this-is-a-new-post/#comment-502.基本WP,无插件激活,2017主题。添加了一个新帖子。已注销。已打开新浏览器窗口(非选项卡)。已将网站加载为“访问者”(无登录)。看看那个帖子。然后对帖子发表评论;保存了它。看到弹出窗口。重新显示帖子。看到弹出窗口。如果您转到该链接,您将看到“Danger Wil Robinson”弹出窗口。