我有一个通过 JavaScript 提供对博客友好的小部件的网站。这些在大多数情况下都可以正常工作,包括自托管的 Wordpress 博客。但是,在 Wordpress.com 上托管的博客中,侧边栏文本模块中不允许使用 JavaScript。有没有人看到这个限制的解决方法?
4 回答
您可以随时请求 wp 将您的小部件添加到他们的“已批准”列表中,但谁知道这需要多长时间。您正在谈论一种规避他们关于发布任意脚本的规则的方法。尤其是 myspace javascript 漏洞利用提高了对此类变通办法可能性的认识,因此您可能很难绕过限制 - 但是,这里有一个经典的尝试:
将 javascript 放在一个奇怪的地方,比如执行 URL 的任何地方。例如:
<div style="background:url('javascript:alert(this);');" />
有时“javascript”这个词会被删掉,但有时你可以把它当作 java\nscript 或类似的东西偷偷溜进去。
有时引号会被去掉 - 尝试 String.fromCharCode(34) 来解决这个问题。此外,一般来说,使用 eval("codepart1" + "codepart2") 来绕过受限制的单词或字符。
潜入 javascript 是一项棘手的工作,主要是利用非正统(可能未记录)浏览器行为来在页面上执行任意 javascript。欢迎来到黑客。
来自官方WordPress.com 常见问题解答:
Javascript 可用于恶意目的,虽然您想做的事没问题,但这并不意味着所有的 javascript 都会好起来。
它继续提醒读者,MySpace 和 LiveJournal 都受到了恶意 Javascript 的影响,因此不会被允许(因为它可能会被不怀好意的用户利用)。他们不能冒险使用非常大的网站(想想我可以吃 Cheezburger、Anderson Cooper 360、Fox 等)。
如果您认为您拥有可以使 WordPress.com 受益的 Javascript,您可以直接与他们联系。
没有解决办法。Wordpress 目前不支持 Javascript。对不起。
如果你真的需要那个 js 来工作,那就找一个关于 XSS 的好网站。但是,如果它适用于您,它适用于任何人,并且您发布了有关如何在您的页面上使用帖子或评论进行 XSS 攻击的教程。