Closed xwolfde closed 7 years ago
Es könnte auch an den TinyMCE Editor liegen, der auf der Site aktiv ist. Wer könnte das mal durchtesten unter welcher Konstallation ein normaler User der Rolle "Editor" plötzlich Inline-Styles und anderes HTML nutzen kann. @cibsell könntest du da auch mal schauen, ob eine Deaktivierung des TinyMCE etwas ändern würde?
Oder irr ich mich und sind die genannten Tags (div, span) erlaubt, weil sie ja auch normal für Bilder etc vorkommen? Kann man Inline-Styles einschränken?
TinyMCE ists wohl nicht
Ich kann die Tags im TinyMCE zumindest nicht explizit ausschließen.
Standardmäßig die Redakteure (Editor Role) können "unfiltered html" im WP-Editor eingeben. Siehe https://codex.wordpress.org/Roles_and_Capabilities. Das Workflow-Plugin ändert dieser "Capability" nicht.
Kann es sein, daß der Workflow bei der Rechtevergabe es ungewollt mit ermöglicht, dass Usre der Rolle "Editor" ungefiltert HTML eingeben können? vgl. https://github.com/RRZE-Webteam/fau-person/issues/139#issuecomment-218277886
User hatte Rolle Editor. Bei Workflow-Editors waren folgende Settings aktiv: Edit Pages Publish Pages Delete Pages Edit Published Pages