Make WordPress Core

Ticket #33121: 33121.5.diff

File 33121.5.diff, 4.7 KB (added by azaozz, 6 years ago)
  • src/wp-includes/kses.php

     
    864864 * @return bool Is the attribute allowed?
    865865 */
    866866function wp_kses_attr_check( &$name, &$value, &$whole, $vless, $element, $allowed_html ) {
    867         $allowed_attr = $allowed_html[strtolower( $element )];
     867        $allowed_attr = $allowed_html[ strtolower( $element ) ];
    868868
    869869        $name_low = strtolower( $name );
     870
    870871        if ( ! isset( $allowed_attr[$name_low] ) || '' == $allowed_attr[$name_low] ) {
    871                 $name = $value = $whole = '';
    872                 return false;
     872                // Allow `data-*` attributes.
     873                // When specifying `$allowed_html`, the attribute name should be set as `data-*`
     874                // (not to be mixed with the HTML 4.0 `data` attribute, see https://www.w3.org/TR/html40/struct/objects.html#adef-data).
     875                // Note: the attribute name should only contain `A-Za-z0-9_-` chars.
     876                if ( strpos( $name_low, 'data-' ) === 0 && ! empty( $allowed_attr['data-*'] ) && preg_match( '/^data(?:-[a-z0-9_]+)+$/', $name_low, $match ) ) {
     877                        // Add the whole attribute name to the allowed attributes and set any restrictions
     878                        // for the `data-*` attribute values for the current element.
     879                        $allowed_attr[ $match[0] ] = $allowed_attr['data-*'];
     880                } else {
     881                        $name = $value = $whole = '';
     882                        return false;
     883                }
    873884        }
    874885
    875886        if ( 'style' == $name_low ) {
     
    884895                $value = $new_value;
    885896        }
    886897
    887         if ( is_array( $allowed_attr[$name_low] ) ) {
     898        if ( is_array( $allowed_attr[ $name_low ] ) ) {
    888899                // there are some checks
    889900                foreach ( $allowed_attr[$name_low] as $currkey => $currval ) {
    890901                        if ( ! wp_kses_check_attr_val( $value, $vless, $currkey, $currval ) ) {
     
    18201831                'style' => true,
    18211832                'title' => true,
    18221833                'role' => true,
     1834                'data-*' => true,
    18231835        );
    18241836
    18251837        if ( true === $value )
  • tests/phpunit/tests/kses.php

     
    718718
    719719                $this->assertEquals( "<{$element}>", wp_kses_attr( $element, $attribute, array( 'foo' => false ), array() ) );
    720720        }
     721
     722        /**
     723         * Data attributes are globally accepted.
     724         *
     725         * @ticket 33121
     726         */
     727        function test_wp_kses_attr_data_attribute_is_allowed() {
     728                $test = '<div data-foo="foo" data-bar="bar" datainvalid="gone" data--invaild="gone"  data-also-invaild-="gone" data-two-hyphens="remains">Pens and pencils</div>';
     729                $expected = '<div data-foo="foo" data-bar="bar" data-two-hyphens="remains">Pens and pencils</div>';
     730
     731                $this->assertEquals( $expected, wp_kses_post( $test ) );
     732        }
     733
     734        /**
     735         * Ensure wildcard attributes block unprefixed wildcard uses.
     736         *
     737         * @ticket 33121
     738         */
     739        function test_wildcard_requires_hyphen_after_prefix() {
     740                $allowed_html = array(
     741                        'div' => array(
     742                                'data-*' => true,
     743                                'on-*' => true,
     744                        ),
     745                );
     746
     747                $string = '<div datamelformed-prefix="gone" data="gone" data-="gone" onclick="alert(1)">Malformed attributes</div>';
     748                $expected = '<div>Malformed attributes</div>';
     749
     750                $actual = wp_kses( $string, $allowed_html );
     751
     752                $this->assertSame( $expected, $actual );
     753        }
     754
     755        /**
     756         * Ensure wildcard allows two hyphen.
     757         *
     758         * @ticket 33121
     759         */
     760        function test_wildcard_allows_two_hyphens() {
     761                $allowed_html = array(
     762                        'div' => array(
     763                                'data-*' => true,
     764                        ),
     765                );
     766
     767                $string = '<div data-wp-id="pens-and-pencils">Well formed attribute</div>';
     768                $expected = '<div data-wp-id="pens-and-pencils">Well formed attribute</div>';
     769
     770                $actual = wp_kses( $string, $allowed_html );
     771
     772                $this->assertSame( $expected, $actual );
     773        }
     774
     775        /**
     776         * Ensure wildcard attributes only support valid prefixes.
     777         *
     778         * @dataProvider data_wildcard_attribute_prefixes
     779         *
     780         * @ticket 33121
     781         */
     782        function test_wildcard_attribute_prefixes( $wildcard_attribute, $expected ) {
     783                $allowed_html = array(
     784                        'div' => array(
     785                                $wildcard_attribute => true,
     786                        ),
     787                );
     788
     789                $name = str_replace( '*', strtolower( __FUNCTION__ ), $wildcard_attribute );
     790                $value = __FUNCTION__;
     791                $whole = "{$name}=\"{$value}\"";
     792
     793                $actual = wp_kses_attr_check( $name, $value, $whole, 'n', 'div', $allowed_html );
     794
     795                $this->assertSame( $expected, $actual );
     796        }
     797
     798        /**
     799         * @return array Array of arguments for wildcard testing
     800         *               [0] The prefix being tested.
     801         *               [1] The outcome of `wp_kses_attr_check` for the prefix.
     802         */
     803        function data_wildcard_attribute_prefixes() {
     804                return array(
     805                        // Ends correctly
     806                        array( 'data-*', true ),
     807
     808                        // Does not end with trialing `-`.
     809                        array( '33121*', false ),
     810
     811                        // Multiple wildcards.
     812                        array( '3*121-*', false ),
     813                        array( '33121**', false ),
     814                );
     815        }
    721816}