为防范SQL注入、XSS等攻击,Wordpress会在保存博客内容时候,对内容自动过滤,导致会对超链接中不支持的协议protocol头(例如:magnet:?xt=urn:btih: ),自动删除掉。 网上搜索结果,大部分都是简单粗暴的方案: 修改 wp-includes/post.php,将相关内容
$postarr = sanitize_post($postarr, 'db');
注释掉。 但这样放弃了Wordpress原本的防范措施,不建议采用,且新版本这样直接注释会导致火车头发布不上去。 推荐的解决办法:
方案一:在现有主题theme,增加新协议支持,主题如果更新需要再重新写入。
修改 wp-content/themes/对应的theme名称/functions.php ,增加如下内容:
<?php function ss_allow_magnet_protocol( $protocols ){ $protocols[] = 'magnet'; return $protocols; } function ss_allow_ed2k_protocol( $protocols ){ $protocols[] = 'ed2k'; return $protocols; } add_filter( 'kses_allowed_protocols' , 'ss_allow_magnet_protocol' ); add_filter( 'kses_allowed_protocols' , 'ss_allow_ed2k_protocol' );
方案二:修改 wp-includes/functions.php,增加新协议支持,此方案缺点是升级wp版本需要再重新设置。
修改 wp-includes/functions.php 的function wp_allowed_protocols()
if ( empty( $protocols ) ) { $protocols = array( 'http', 'https', 'ftp', 'ftps', 'mailto', 'news', 'irc', 'gopher', 'nntp', 'feed', 'telnet', 'mms', 'rtsp', 'sms', 'svn', 'tel', 'fax', 'xmpp', 'webcal', 'urn' ); }
直接增加需要添加的新协议,例如:
if ( empty( $protocols ) ) { $protocols = array( 'http', 'https', 'ftp', 'ftps', 'mailto', 'news', 'irc', 'gopher', 'nntp', 'feed', 'telnet', 'mms', 'rtsp', 'sms', 'svn', 'tel', 'fax', 'xmpp', 'webcal', 'urn' ,'magnet','ed2k'); }
此种方案存在一个问题:由于是全局性修改,Wordpress每一次版本升级,都会覆盖修改functions.php 文件,必须手工再次修改此文件。
:本文采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可, 转载请附上原文出处链接。