我有一个网站，可通过JavaScript提供对博客友好的窗口小部件。这些在大多数情况下都可以正常工作，包括自托管的Wordpress博客。但是，在Wordpress.com上托管的博客中，侧边栏文本模块中不允许使用JavaScript。有没有人看到此限制的解决方法？

解决方案

回答

我们总是可以请wp将小部件添加到他们的"已批准"列表中，但是谁知道那会花费多长时间。我们正在谈论一种规避它们关于发布任意脚本的规则的方法。特别是myspace javascript漏洞利用，已经使人们更多地意识到了这种解决方法的可能性，因此我们可能很难克服这些限制，但是，可以尝试以下经典方法：

将javascript放在一个奇怪的地方，例如执行URL的任何地方。例如：

<div style="background:url('javascript:alert(this);');" />

有时候，" javascript"一词会被删去，但有时我们可以像java \ nscript或者类似的词来潜入它。

有时引号会被剥离掉，尝试使用String.fromCharCode(34)来解决该问题。同样，通常，使用eval(" codepart1" +" codepart2")来绕开受限的单词或者字符。

潜入javascript是一项棘手的工作，通常利用非正统(可能是未记录的)浏览器行为来在页面上执行任意javascript。欢迎使用黑客技术。

回答

来自官方WordPress.com常见问题解答：

Javascript can be used for malicious purposes and while what you want to do is okay it does not mean all javascript will be okay.

它继续提醒读者，MySpace和LiveJournal均已受到恶意Javascript的影响，因此将被禁止(因为意图不佳的用户可能会利用它)。他们无法冒险使用庞大的网站(例如，我可以拥有Cheezburger，Anderson Cooper 360，Fox等)。

如果我们认为自己拥有可以使WordPress.com受益的Javascript，可以直接与他们联系。

回答

没有解决的办法。 Wordpress当前不支持Javascript。对不起。

回答

如果我们确实需要该js来工作，只需找到一个有关XSS的好网站。但是，如果它对我们有效，那么它对任何人都有效，并且我们会在页面上发布有关如何进行XSS攻击的辅导员，其中包含帖子或者评论。

参考：
http://ha.ckers.org/xss.html