Zu viele Rechte

[xwolfde]

Kann es sein, daß der Workflow bei der Rechtevergabe es ungewollt mit ermöglicht, dass Usre der Rolle "Editor" ungefiltert HTML eingeben können? vgl. https://github.com/RRZE-Webteam/fau-person/issues/139#issuecomment-218277886

User hatte Rolle Editor. Bei Workflow-Editors waren folgende Settings aktiv: Edit Pages Publish Pages Delete Pages Edit Published Pages

[xwolfde]

Es könnte auch an den TinyMCE Editor liegen, der auf der Site aktiv ist. Wer könnte das mal durchtesten unter welcher Konstallation ein normaler User der Rolle "Editor" plötzlich Inline-Styles und anderes HTML nutzen kann. @cibsell könntest du da auch mal schauen, ob eine Deaktivierung des TinyMCE etwas ändern würde?

Oder irr ich mich und sind die genannten Tags (div, span) erlaubt, weil sie ja auch normal für Bilder etc vorkommen? Kann man Inline-Styles einschränken?

[xwolfde]

TinyMCE ists wohl nicht

[cibsell]

Ich kann die Tags im TinyMCE zumindest nicht explizit ausschließen.

[rvdforst]

Standardmäßig die Redakteure (Editor Role) können "unfiltered html" im WP-Editor eingeben. Siehe https://codex.wordpress.org/Roles_and_Capabilities. Das Workflow-Plugin ändert dieser "Capability" nicht.