Помогая другому администратору на нашем сайте, я дал следующий совет, но не уверен, что он на 100% верен. Те, кто разбирается в этом, пожалуйста, проверьте его и сообщите, есть ли в нём ошибки.
Контекст: использование кнопки предварительного просмотра темы.
Поскольку темы — это просто CSS и JavaScript, которые выполняются после того, как текст поста возвращён из SQL-запроса, и они не обновляют базу данных, насколько мне известно, это абсолютно безопасно. Хуже всего, что вы можете сделать, — это нарушить отображение единственной HTML-страницы, которую вы просматриваете.
К сожалению, темы не на 100% безопасны. Предпросмотр будет работать в контексте учетной записи администратора и может выполнять AJAX-запросы к различным маршрутам.
Злоумышленник может нанести значительный ущерб с помощью темы. Это будет очевидно при просмотре исходного кода, но технически это возможно.
