Можно ли штатными средставами контент-редакторам отключить JavaScript, оставив возможность публикации HTML?
Какие есть пути к решению задачи?
Злоумышленник, получив доступ к аккаунту с правами контент редактора, хотя у него и отключена возможность редактирования/создания PHP, может разместить в публичной части JavaScript, фоново отправляющий куда-нибудь куки или делающий AJAX запрос к сайту с правами текущего пользователя. Им может быть администратор, просматривающий публичную часть.
Поэтому по сути защита модификации PHP-файлов скорее от честных людей. А вот политики безопасности у контент-редакторов по умолчанию слабые.
Какие есть пути к решению задачи?
Злоумышленник, получив доступ к аккаунту с правами контент редактора, хотя у него и отключена возможность редактирования/создания PHP, может разместить в публичной части JavaScript, фоново отправляющий куда-нибудь куки или делающий AJAX запрос к сайту с правами текущего пользователя. Им может быть администратор, просматривающий публичную часть.
Поэтому по сути защита модификации PHP-файлов скорее от честных людей. А вот политики безопасности у контент-редакторов по умолчанию слабые.
