Почему в моем сообщении разрешен JavaScript?

Кодекс говорит, что вы не можете добавить JavaScript в содержание сообщения

https://codex.wordpress.org/Using_Javascript

Но я могу. Я отключил все плагины и изменил на тему twentysixteen, но безрезультатно - я все еще могу добавить javascript через контент поста и запустить его на внешнем интерфейсе. Я не хочу, чтобы кто-либо мог добавлять javascript через содержание публикации (кроме oembed и т. Д.) По соображениям безопасности.

Кто-нибудь сталкивался с этим или есть идеи, чтобы помочь?

Спасибо

Если у вас есть возможность unfiltered_html, вы можете использовать JS. Администраторы и редакторы имеют эту возможность по умолчанию.

Лично я использую плагин для точного управления возможностями моих пользователей, но вы можете легко сделать это изменение в коде:

  $role = get_role( 'administrator' );
  $role->remove_cap( 'unfiltered_html' );
  $role = get_role( 'editor' );
  $role->remove_cap( 'unfiltered_html' );

Возможности хранятся в таблице параметров базы данных, поэтому технически вам не нужно выполнять это повторно. Возможно, сделайте себе небольшой плагин и поместите его на крючок активации.

Не забывайте, что администраторы могут обойти это, загрузив свой собственный код, а затем непосредственно отредактировав параметры роли. Я никогда не позволю никому занимать роль администратора, если я не рад, что они что-то делают.