ACFバージョン6.3.6アップデート：コンテンツエディタフィールド値アクセスのセキュリティ強化

コンテンツエディタでのフィールド値アクセス

ACFショートコードは、コンテンツエディターが記事コンテンツを作成・表示する際に、ACFフィールドの値にアクセスするための方法です。ACF の最新バージョンでは、ACF ショートコードのセキュリティが大幅に改善されました。 ACF 6.3.0 にあります。使用禁止状態.しかし、サイトユーザーがエディタでフィールドデータにアクセスできるようにするには信頼が必要であり、常に固有のセキュリティリスクがあります。最近のWordPressの機能である ブロック・バインディング 歌で応える ビット(近日公開予定))をご覧ください。

これらの新機能を安全にサポートし、既存のACFショートコードのセキュリティレベルを向上させるために、ACF 6.3.6は新しいフィールドレベル設定を導入しました。この設定は、エディタがコンテンツ内でフィールド値にアクセスし、使用できるようにフィールドをマークします。エディタUIで値へのアクセスを許可

これは、例えば、開発者がACFショートコードによる特定のフィールドへのアクセスを許可しても、サイト管理者のみがアクセスできる内部オプションページで使用されるフィールドへのアクセスをコンテンツ編集者に許可しないことを意味します。

これは、フィールドを編集して、'プレゼンテーション'タブでフィールド設定にアクセスします：

ACF 6.3.6以前に作成されたフィールドでは、デフォルトで既存のものと同じ動作が有効になります。試合の設定は無効になりますが、それ以降に追加された新しいフィールドはすべて無効になります。つまり、フィールドが作成されるとコンテンツ編集者がフィールドにアクセスできるように明示的に選択する必要があります。.の値へのコードベースのアクセスには影響しません。例えば 属もしかしたら また、コンテンツエディターでフィールド値にアクセスする既存または今後の方法にのみ適用されます。the_field_get_field_get_post_meta

6.3.6にアップグレードした後、ACFユーザーはフィールドグループとフィールドを再検討し、機密情報を含むフィールド、特にオプションページやユーザーに添付されているフィールドの設定を「オフ」に切り替えることをお勧めします。

変更履歴

• セキュリティ - フィールド権限のセキュリティを向上させるために、新しく追加されたフィールドは、コンテンツエディターでアクセスを許可するように明示的に設定する必要があります（ACFショートコードまたはブロックバインディングを使用する場合）。
• セキュリティ修正 - XSSの潜在的な問題を防ぐため、フィールドグループエディタでレンダリングされるフィールドラベルが適切にエスケープされるようになりました。三井物産セキュアディレクション株式会社の外山亮氏に感謝します！
• 修正 - AJAX リクエスト nonce の検証およびブロックがサードパーティプラグインによって上書きされないようになりました。
• 修正 - サードパーティのselect2ライブラリの検出のデフォルトがv3からv4に変更されました。
• 修正 - レンダーテンプレートのPHPファイルが見つからない場合、ブロックプレビューでエラーが表示されるようになりました。