【发布时间】:2008-09-17 09:18:44
【问题描述】:
我有一个site,它通过 JavaScript 提供对博客友好的小部件。这些在大多数情况下都可以正常工作,包括自托管的 Wordpress 博客。但是,在 Wordpress.com 上托管的博客中,侧边栏文本模块中不允许使用 JavaScript。有没有人看到这个限制的解决方法?
【问题讨论】:
标签: javascript wordpress widget
【发布时间】:2008-09-17 09:18:44
【问题描述】:
您可以随时请求 wp 将您的小部件添加到他们的“已批准”列表中,但谁知道这需要多长时间。您正在谈论一种规避他们关于发布任意脚本的规则的方法。尤其是 myspace javascript 漏洞利用提高了人们对此类变通办法可能性的认识,因此您可能很难绕过这些限制 - 但是,这里有一个经典的尝试:
将 javascript 放在一个奇怪的地方,比如执行 URL 的任何地方。例如:
<div style="background:url('javascript:alert(this);');" />
有时“javascript”这个词会被删掉,但有时你可以把它当作 java\nscript 或类似的东西偷偷溜进去。
有时引号会被去掉 - 尝试 String.fromCharCode(34) 来解决这个问题。另外,一般来说,使用 eval("codepart1" + "codepart2") 来绕过受限制的单词或字符。
潜入 javascript 是一项棘手的工作,主要是利用非正统(可能未记录)浏览器行为来在页面上执行任意 javascript。欢迎使用黑客攻击。
【讨论】:
-
哦,当然,但是拜托,有没有一种“干净”的方法可以将 javascript 偷偷带入本应不允许使用的区域?
-
“干净”和“偷偷摸摸”听起来像一个 oximóron
来自官方WordPress.com FAQ:
Javascript 可能被用于恶意目的,虽然您想做的事情没问题,但这并不意味着所有的 javascript 都可以。
它继续提醒读者 MySpace 和 LiveJournal 都受到了恶意 Javascript 的影响,因此不会被允许(因为它可能会被不怀好意的用户利用)。他们不能冒险使用非常大的网站(想想 I Can Has Cheezburger、Anderson Cooper 360、Fox 等)。
如果您认为自己的 Javascript 可以使 WordPress.com 受益,您可以contact them directly。
【讨论】:
没有解决办法。 Wordpress 目前不支持 Javascript。对不起。
【讨论】:
-
此外,如果您确实找到了方法,您应该将其报告给 WordPress,以便他们可以阻止它。
-
它确实允许通过文本小部件执行简单的 javascript。
如果你真的需要那个 js 来工作,那就找一个关于 XSS 的好网站。但如果它适用于你,它适用于任何人,并且你发布了一个关于如何使用帖子或 cmets 在你的页面上进行 XSS 攻击的教程。
【讨论】: