html tags stripped out in wordpressmu

最新推荐文章于 2024-10-10 11:15:29 发布
最新推荐文章于 2024-10-10 11:15:29 发布
阅读量646 收藏
点赞数
分类专栏: wordpress 文章标签: html tags filter user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tengbintang/article/details/6087518
版权

Problem description:

 

Embedded video code when submitting a new post is automatically stripped out.

 

Problem analysis:

Wordpressmu2.9.1 has this issue.

But wordpress 2.9.1 and wordpress3.0.1 works fine.

 

When deactivate all plugins,the issue still exits.so it is not a plugin conflict issue.

 

Searching on the internet somebody in a post mentioned that for security reasons(strip evil script) wordpress will strip out some html tags automaticlly.

 

Here

http://www.clickonf5.org/wordpress-mu/youtube-other-video-not-embedding-wordpress-mu/5820

 

So i added the tags needed for an embedded code one by one in wordpressmu.

Yes,it works!

 

Why wordpress does not need this code hacking?

Wordpress and wordpressmu  both use a third party script called KSES for filtering html tags

( HTML/XHTML filter that only allows some elements and attributes )

 

the damned function that strips our text is wp_filter_kses().

    kses_init_filters() adds it as filter to 5 hooks, kses_init() calls this function, and it is added as action to init and set_current_user. All those functions are in kses.php

    Note the current_user_can('unfiltered_html'). That's the trick, kses_init() removes the filter from all hooks and adds it back if user can't use clean HTML.

     So, instead of hacking WordPress core or using codes to remove the filter, just set unfiltered_html role to uses that should have it, 

and WordPress core will do it's job nicefully without having to be hacked

 

Solution:

Change the code in  kses.php   under ‘wp-include’ folder .

From 

function  kses_init() {

global  $allowedposttags $allowedtags ;

$allowedposttags  = apply_filters(  'edit_allowedposttags' $allowedposttags  );

$allowedtags  = apply_filters(  'edit_allowedtags' $allowedtags  );

kses_remove_filters();

kses_init_filters();

}

To

function  kses_init() {

global  $allowedposttags $allowedtags ;

$allowedposttags  = apply_filters(  'edit_allowedposttags' $allowedposttags  );

$allowedtags  = apply_filters(  'edit_allowedtags' $allowedtags  );

kses_remove_filters();

if  (current_user_can( 'unfiltered_html' ) ==  false ){

kses_init_filters();

}

}

 

This will help to judge whether the login use has the authority called 

unfiltered_html  

Currently administrator and editor has the authority.

Conclusion

The issue only exits in wordpressmu,not in wordpress

 

Reference

http://wordpress.org/support/topic/cant-embed-videos-after-upgrade-to-multisite

http://www.clickonf5.org/wordpress-mu/youtube-other-video-not-embedding-wordpress-mu/5820

http://mu.wordpress.org/forums/topic/17876

http://wordpress.org.cn/viewthread.php?tid=66440

http://sourceforge.net/projects/kses/files/kses/0.2.2/kses-0.2.2.zip/download

http://codex.wordpress.org/Function_Reference/wp_kses

 

tengbintang
关注
专栏目录
Python爬虫入门8:BeautifulSoup获取html标签相关属性
老猿Python
01-30 3650
本节介绍了BeautifulSoup对象的主要属性,通过这些属性可以访问特定标签和内容。
聊聊 WordPress 5.1.1 CSRF to RCE 漏洞
weixin_33696822的博客
03-18 317
作者:LoRexxar'@知道创宇404实验室时间:2019年3月14日 2019年3月13日, RIPS团队公开了一篇关于WordPress 5.1.1的XSS漏洞详情,标题起的很响亮,叫做wordpress csrf to rce, https://blog.ripstech.com/2019/wordpress-csrf-to-rce/ 下面我们就来详细聊聊这个漏洞。 关于WordPress...
wordpress漏洞_聊聊 WordPress 5.1.1 CSRF to RCE 漏洞
weixin_39581716的博客
12-04 539
作者:LoRexxar'@知道创宇404实验室时间:2019年3月14日2019年3月13日, RIPS团队公开了一篇关于WordPress 5.1.1的XSS漏洞详情,标题起的很响亮,叫做wordpress csrf to rce,https://blog.ripstech.com/2019/wordpress-csrf-to-rce/下面我们就来详细聊聊这个漏洞。关于 WordPr...
wordpress搜索插件_12个WordPress搜索插件可改善您的网站搜索
09-10 1722
wordpress搜索插件Do you want to improve your WordPress site search? We all know that the default WordPress search feature is fairly limiting. However, there are several WordPress search plugins that can h...
python 数据分析之 HTML文件解析
weixin_42914706的博客
02-19 1万+
HTML:是 Hypertext Marked Language,即超文本标记语言,是一种用来制作超文本文档的简单标记语言;HTTP超文本传输协议规定了浏览器在运行 HTML 文档时所遵循的规则和进行的操作。HTTP协议的制定使浏览器在运行超文本时有了统一的规则和标准。HTML文件本质上是文本文件,而普通的文本文件只能显示字符。
BeautifulSoup用于html文件解析
aiqq136的博客
01-12 7125
BeautifulSoup4将复杂HTML文档转换成一个复杂的树形结构,每个节点都是Python对象,所有对象可以归纳为4种: Tag NavigableString BeautifulSoup Comment 测试文件:baidu.html 请将文件内容放于项目的根目录下 文件内容 <!DOCTYPE html> <html> <head> <meta content="text/html;charset=utf-8" http-equiv.
Python对html解析(BeautifulSoup)
热门推荐
二十同学
11-05 5万+
BeautifulSoup简介   BeautifulSoup是一个高效的网页解析库,可以从 HTML 或 XML 文件中提取数据。BeautifulSoup支持不同的解析器,比如,对HTML解析,对XML解析,对HTML5解析。一般情况下,我们用的比较多的是 lxml 解析器。 BeautifulSoup安装   BeautifulSoup3 目前已经停止更新,推荐在现在的项目中使用BeautifulSoup4,不过它已经被移植到bs4了。也就是说导入时我们需要 import bs4 。可以利用 p
Ionic2 "WARNING: sanitizing HTML stripped some content" when no content stripped
待花开花谢的博客
12-13 3280
Web应用程序的安全涉及到很多方面。针对常见的漏洞和攻击,比如跨站脚本攻击,Angular提供了一些内置的保护措施。为了系统性的防范XSS问题,Angular默认把所有值都当做不可信任的。 当值从模板中以属性(Property)、DOM元素属性(Attribte)、CSS类绑定或插值表达式等途径插入到DOM中的时候, Angular将对这些值进行无害化处理(Sanitize),对不可信的值进行编码。
linux 动态库文件stripped属性理解
轻锋的专栏
02-12 2528
在centos 6.2下用file命令查看文件信息的时候,显示如下: libcom_err.so.2:      ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, stripped libcrypto.so.10:      ELF 64-bit LSB shared object, x8
html-strip-tags-go:将htmltemplate中的stripTags导出为strip.StripTags
05-07
GoHTML StripTag 这是一个Go包,其中包含html/template/html.go未导出的stripTags函数的提取版本。 :warning: 该软件包不能防止不受信任的输入。 如果您有不受信任的数据,请... stripped := strip . StripTags ( o
laura_stripped
05-03
自述文件 Laura-应用程序旨在同时充当REST API提供程序和常规Web应用程序。 Ruby 2.2.2版 系统依赖关系PostgreSQL Redis 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等...
jfs.rar_Stripped Down
09-19
标题“jfs.rar_Stripped Down”表明这是一份精简版的JFS(Journaled File System)头文件,专为Linux操作系统设计。描述提到它仅包含JFS在磁盘上的数据结构,这意味着它去除了不必要的部分,可能用于简化理解和分析...
详解PHP函数 strip_tags 处理字符串缺陷bug
12-20
$stripped_str = strip_tags($doc->textContent, '<div>'); ``` 3. **预处理字符串**:在调用`strip_tags()`之前,先用`preg_replace()`等函数替换掉可能出现问题的特殊字符串。 4. **使用更安全的库**:有一些...
前端开发笔记--html 黑马程序员2
m0_73805171的博客
10-08 289
路径分为绝对路径和相对路径。
使用html写一个能发起请求的登录界面
2301_79431343的博客
10-03 1326
这是文档类型声明,告诉浏览器这是一个 HTML文档。这是 HTML 文档的根元素,lang="en" 表明文档的主要语言是英语。
【写个本地的html】写个本地的html文件,做个demo,直接用浏览器打开
weixin_41747256的博客
10-10 314
【写个本地的html】写个本地的html文件,做个demo,直接用浏览器打开
《常见 HTML 标签和属性全解析》
最新发布
一名资深Java工程师的技术分享
10-10 1023
在网页开发的世界里,HTML(超文本标记语言)就像是构建数字大厦的基石。它通过各种标签和属性来定义网页的结构、内容和样式。下面,让我们深入了解一些常见的 HTML 标签和属性。
前端开发笔记--html 黑马程序员1
m0_73805171的博客
10-08 1252
VsCode在刚下载完成后默认是英文的,这对我们这些中国程序员来说很不友好,为了解决这个问题我们可以选择在VsCode中安装一个这个插件,在安装并重启VsCode后VsCode便会将语言调整为中文。这个插件能够让我们实时看到我们修改后的代码的效果,而不需要在每次修改后都刷新浏览器。这个插件能够帮助我们进行快捷的修改标签在我们修改前一个·标签,后一个标签也会改动。由于篇幅的原因在这里便简单介绍一下一些比较重要的插件,黑马那边有更加全面的插件。这个插件能够让我们选择想要的浏览器进行预览。1.前端开发框架代码。
not strippedstripped
08-23
not strippedstripped 是两种表示可执行文件或库的状态的术语。 "stripped" 表示已删除可执行文件或库中的调试信息。调试信息包含源代码文件名、行号和变量名等信息,用于在调试过程中帮助开发者理解代码的执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值