V nedávné aktualizaci pluginu Advanced Custom Fields (ACF) došlo k významné změně, která ovlivňuje způsob zobrazení obsahu z ACF polí ve WordPress šablonách. Tato verze zavádí automatické escapování HTML z obsahu vypsaného funkcemi the_field a the_sub_field, což má za cíl zvýšit bezpečnost tím, že se zabrání potenciálním XSS útokům. Tato změna může ovlivnit stránky, které vkládají HTML nebo JavaScript přímo z ACF polí. Změny jsou detailněji popsány tady.
Chyba
V tomto směru se tak může začít v administraci WordPressu zobrazovat chyba typu:
Příklad změny kódu
Za:
Závěrem
Tato změna tedy znamená, že je potřeba být opatrnější při vkládání obsahu, který může obsahovat HTML nebo JavaScript kód, a zvážit alternativní metody pro jeho bezpečné zobrazení.