Wordpress变量$allowedposttags引发的一些问题

897 字

4 分钟

Wordpress变量$allowedposttags引发的一些问题

2020-10-02

2020-10-03

经验杂谈

kratos

/

Options Framework

/

wordpress

一般不会碰到这东西, 也就是禁止评论里出现一些注入代码等等. 但是更改主题的时候, 发现Options Framework这个框架保存设置的时候, 对textarea标签进行过滤. 导致没办法添加一些标签, po个文记录一下.

第一趴#

发现问题#

想在主题中添加一个”额外代码”的选项, 可以把统计代码推送代码放到页脚. 原主题(kratos)也是有这个功能的. 但是实际使用遇到一些问题, Options Framework框架再保存设置的时候, 使用了 wp_kses 函数处理内容. 导致一些不在变量 $allowedposttags 中的标签无法显示.

1
/**
2
 * Sanitization for textarea field
3
 *
4
 * @param $input string
5
 * @return string $output sanitized string
6
 */
7
function of_sanitize_textarea($input)
8
{
9
    global $allowedposttags;
10
    return wp_kses($input, $allowedposttags);
11
}
12

13
add_filter('of_sanitize_textarea', 'of_sanitize_textarea');

百度现在是没有自动推送了, 最近更换域名也是重新开始对这些搜索引擎进行推送连接. 360搜索目前还支持自动推送, 加上代码后会有个奇怪的问题. 这段代码原本是这样的.

1
<script>
2
(function(){
3
var src = "https://jspassport.ssl.qhimg.com/11.0.1.js?d182b3f28525f2db83acfaaf6e696dba";
4
document.write('<script src="' + src + '" id="sozz"><\/script>');
5
})();
6
</script>

保存之后第四行id属性以及script标签结尾被删除了.

1
document.write('<script src="' + src + '">');

因为360这个推送代码id是有用的, 引入的第二个js文件调用这个id. 所以缺少了会报错, 并且标签尾没了浏览器会自动添加, 但是添加的很诡异, 会把他下面的所有内容全包进去.

提出方案#

删除框架中对textarea标签的验证
hook $allowedposttags,$ allowedtags 使其支持scrtip标签和其ID属性
更改js代码

第二趴#

实际实施#

第一种方法不可取, 虽然很简单, 直接return就行了. 但是毕竟这个框架这个函数不是只为这一个功能服务的. 而且这个验证还是挺有用的, 防止一些垃圾注入. 除非对自己的代码以及后期设置很有信心, 保证不会再代码安全上出现问题.

第二种方法就更危险了, 因为 $allowedposttags 和$ allowedtags也不是为了这个函数专门创建的. 还对评论进行处理, 如果hook处理不当直接导致评论者可以通过评论漏洞来攻击服务器. 就算是加了is_admin()的判断, 也无法保证其他管理员都需了结代码安全问题.

提供的代码仅供参考, 再次强调: 此代码有一定风险, 谨慎使用.

1
/*
2
 * 只在后台页面hook允许script标签
3
 * 本意是可以让Options Framework设置保存验证允许保存带script标签的内容
4
 * */
5
if (is_admin()) {
6
    if (!function_exists('admin_allow_other_tag')) {
7
        function admin_allow_other_tag()
8
        {
9
            global $allowedposttags, $allowedtags;
10
            $allowedposttags&#91;"script"] = array('id' => true, 'src' => true);
11
            $allowedtags&#91;"script"] = true;
12
        }
13
    }
14
add_action( 'init', 'admin_allow_other_tag' );
15
}

第三种方法是我能想到的最好的解决办法了, 代码本意不就是引入个js么. 换种写法不就好了.

1
(function(){
2
let s = document.createElement('script');
3
s.id='sozz';
4
s.src="https://jspassport.ssl.qhimg.com/11.0.1.js?d182b3f28525f2db83acfaaf6e696dba"
5
document.body.appendChild(s);
6
})();