私はACFワードプレスプラグインを使用してoEmbedフィールドを作成しています。フィールドはVimeoからのURLを受け取り、フロントエンドにiframeを出力します。ワードプレスACF OEmbedのesc_url
私は通常のURLをエスケープし、そうのように私のテーマの中に属性:私がしようとすると
<a href="<?= esc_url(get_field('link')); ?>" title="<?= esc_attr(get_field('title')); ?>">
とのoEmbedを逃れ、何も現れません:
<?= esc_url(get_field('video')); ?>
私は以下のスクリプトでXSSをテストする場合ACFフィールドはJSエラーで完全に壊れます。
<script>alert('hello')</script>
このフィールドをエスケープする必要がありますか?私はWordPressがoEmbed関数を介してエスケープすることを担当していると思いますか?
明確にするために、esc_url()関数を削除すると、URLが正しく出力されますか? –
はい、フィールドはiframeを吐き出し、ビデオを正しく表示します。 – Squideyes