<div dir="ltr"><div><div class="gmail_extra"><div class="gmail_quote">On Thu, Jan 30, 2014 at 10:19 AM, Konstantin Kovshenin <span dir="ltr"><<a href="mailto:kovshenin@gmail.com" target="_blank">kovshenin@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="im">>  I have just allowed the <script> tag in the text area. Is the script tag not acceptable at all? Or should I create a New Field, derivate of Textfield, and allow <script> in that?<br>


<br>
</div>As Justin pointed out earlier, you should be checking whether the<br>
current user can publish unfiltered html, and only then show your<br>
custom js fields that allow script tags. Note that an some setups,<br>
neither admins nor super admins have the unfiltered_html capability<br>
for security reasons.<br>
<br>
Also, in my opinion, Custom CSS and especially Custom JS should not be<br>
allowed in themes.<br>
<div class=""><div class="h5"></div></div></blockquote></div><br></div></div><div class="gmail_extra"><br></div><div class="gmail_extra">If you're using the Theme Customizer, then a lot of this is pretty easy to deal with.<div>

<br></div><div>For example, if you wanted to check for that, you could add 'capability' => 'unfiltered_html' to the args in the add_setting() call. Then the associated control simply wouldn't show up for people who lacked that capability.</div>

<div><div class="gmail_extra"><br clear="all"><div>-Otto</div><div><br></div></div></div></div></div>