WordPress 超链接增加magnet、ed2k 新协议支持-解决火车头发布磁力被替换问题

古次元
古次元

WordPress
为防范SQL注入、XSS等攻击,Wordpress会在保存博客内容时候,对内容自动过滤,导致会对超链接中不支持的协议protocol头(例如:magnet:?xt=urn:btih: ),自动删除掉。

网上搜索结果,大部分都是简单粗暴的方案:

修改 wp-includes/post.php,将相关内容 $postarr = sanitize_post($postarr, 'db');注释掉。

但这样放弃了Wordpress原本的防范措施,不建议采用,且新版本这样直接注释会导致火车头发布不上去。

推荐的解决办法:

方案一:在现有主题theme,增加新协议支持,主题如果更新需要再重新写入。

修改 wp-content/themes/对应的theme名称/functions.php ,增加如下内容:

<?php
function ss_allow_magnet_protocol( $protocols ){
    $protocols[] = 'magnet';
    return $protocols;
}
function ss_allow_ed2k_protocol( $protocols ){
    $protocols[] = 'ed2k';
    return $protocols;
}
add_filter( 'kses_allowed_protocols' , 'ss_allow_magnet_protocol' );
add_filter( 'kses_allowed_protocols' , 'ss_allow_ed2k_protocol' );

方案二:修改 wp-includes/functions.php,增加新协议支持,此方案缺点是升级wp版本需要再重新设置。

修改 wp-includes/functions.php 的function wp_allowed_protocols()

if ( empty( $protocols ) ) {
 $protocols = array( 'http', 'https', 'ftp', 'ftps', 'mailto', 'news', 'irc', 'gopher', 'nntp', 'feed', 
'telnet', 'mms', 'rtsp', 'sms', 'svn', 'tel', 'fax', 'xmpp', 'webcal', 'urn' );
        }

直接增加需要添加的新协议,例如:

        if ( empty( $protocols ) ) {
$protocols = array( 'http', 'https', 'ftp', 'ftps', 'mailto', 'news', 'irc', 'gopher', 'nntp', 'feed', 
'telnet', 'mms', 'rtsp', 'sms', 'svn', 'tel', 'fax', 'xmpp', 'webcal', 'urn' ,'magnet','ed2k');
        }

此种方案存在一个问题:由于是全局性修改,Wordpress每一次版本升级,都会覆盖修改functions.php 文件,必须手工再次修改此文件。


古次元

发表评论