内容编辑器中的字段值访问
ACF 短代码是内容编辑者在创建和显示文章内容时访问 ACF 字段值的一种方式。最新版本的 ACF 对 ACF 短代码的安全性进行了重大改进,为了进一步改进,ACF 短代码默认对 ACF 6.3.0 及更高版本的新安装处于禁用状态。但是,允许站点用户在编辑器中访问字段数据需要信任,并且始终存在固有的安全风险。这也是最近的 WordPress 功能(如 Block Bindings 和 Bits(即将推出))的更多问题。
为了安全地支持这些新功能,并提高现有 ACF 短代码的安全级别,ACF 6.3.6 引入了一个新的字段级别设置。此设置将字段标记为允许编辑者访问和使用内容中的字段值。Allow Access to Value in Editor UI
例如,这意味着开发人员可以允许 ACF 短代码访问某些字段,而不允许内容编辑者访问内部选项页面上使用的字段,只有站点管理员才能访问这些字段。
可以通过编辑字段并导航到 ‘Presentation‘ 选项卡来访问字段设置:
对于在 ACF 6.3.6 之前创建的任何字段,默认情况下会启用与现有行为匹配的设置,但对于之后添加的所有新字段,它将被禁用。这意味着在创建字段时,需要明确选择允许内容编辑者访问该字段。这不会影响任何基于代码的值访问,例如 ,或 ,并且仅适用于在内容编辑器中访问字段值的任何现有或即将推出的方法。the_fieldget_fieldget_post_meta
我们建议在升级到 6.3.6 后,ACF 用户重新访问其字段组和字段,并将包含敏感信息的任何字段的设置切换为“关闭”,尤其是附加到选项页面或用户的字段。
更改日志
- 安全性 – 现在必须将新添加的字段显式设置为允许在内容编辑器中访问(使用 ACF 短代码或块绑定时),以提高字段权限的安全性
- 安全修复 – 现在,在 Field Group 编辑器中呈现时,字段标签可以正确转义,以防止潜在的 XSS 问题。感谢 Mitsui Bussan Secure Directions, Inc. 的 Ryo Sotoyama 负责任地披露
- 修复 – 验证和阻止 AJAX 请求 nonce 将不再被第三方插件覆盖
- 修复 – 第三方 select2 库的检测现在将默认为 v4 而不是 v3
- 修复 – 如果未找到渲染模板 PHP 文件,块预览现在将显示错误
暂无评论内容