Oggi, quando ho fatto alcuni test e ho scoperto che Wordpress non filtra il post_title.
Rispettivamente, creo post con i titoli:
-
<?php while ( have_posts() ) : the_post(); echo 'Post Title'; endwhile;?>
-
<a href="http://stackexchange.com/">Post Title</a>
-
<script type="text/javascript">alert('Post Title');</script>
I. Con il primo post, Wordpress inserisce l'intero titolo nel tag di commento html: %codice%. Quindi non viene visualizzato alcun titolo per questo post.
II. Il secondo, Wordpress restituisce un titolo collegato al link .
III. La cosa peggiore è la terza. Una finestra pop-up con il messaggio "Post Title" appare tre volte. È strano! Che cosa sta eseguendo Wordpress?
Ho fatto questo test con Wordpress 4.2.2 sul tema Twentyfiteen. Non ne so molto sulla sicurezza.
Questo bug può essere sfruttato e come posso filtrarlo?