如何在 WordPress 中彻底清理粘贴文本（包括自定义 data 属性）

本文介绍如何通过自定义 tinymce 的 `paste_preprocess` 钩子，在 wordpress 编辑器中实现粘贴内容的深度净化——不仅移除冗余标签与 class/id，还精准清除如 `data-uw-styling-context` 等第三方编辑器注入的污染属性。

WordPress 默认的「粘贴为纯文本」功能往往不够彻底，尤其当用户从 Word、Notion 或某些富文本编辑器（如 UltraEdit、CKEditor 衍生工具）复制内容时，HTML 中常残留大量无意义的 data-* 属性（例如 data-uw-styling-context="true"）、内联样式、冗余嵌套或非标准标签。上述原始脚本虽已通过 jQuery 白名单机制有效剥离非法标签并清除 id 和 class，但对现代编辑器广泛使用的 data-* 属性未作处理，导致 HTML 仍不洁净。

要真正实现“所见即所得”后的语义化输出，需在原有逻辑基础上扩展属性清理范围。核心思路是：在 stripped.find('*') 选中所有元素后，链式调用 .removeAttr() 清除指定的 data-* 属性。

以下是增强后的完整 PHP 函数（兼容 WordPress 5.0+ 及经典编辑器）：

add_filter('tiny_mce_before_init', 'configure_tinymce');

function configure_tinymce($in) {
    $in['paste_preprocess'] = "function(plugin, args){
        // 定义允许保留的 HTML 标签白名单
        var whitelist = 'p,span,b,strong,i,em,h3,h4,h5,h6,ul,li,ol,a,br,blockquote';
        var stripped = jQuery('
' + args.content + '
');

        // 移除白名单外的所有标签（保留其文本内容）
        var els = stripped.find('*').not(whitelist);
        for (var i = els.length - 1; i >= 0; i--) {
            var e = els[i];
            jQuery(e).replaceWith(e.innerHTML);
        }

        // 移除所有元素的危险/冗余属性：id、class、及常见 data-* 属性
        stripped.find('*')
            .removeAttr('id')
            .removeAttr('class')
            .removeAttr('style')              // 建议一并清除内联样式
            .removeAttr('data-uw-styling-context')
            .removeAttr('data-mce-style')
            .removeAttr('data-mce-bogus')
            .removeAttr('data-mce-selected')
            .removeAttr('data-mce-placeholder');

        // 可选：进一步过滤空标签（如仅含空白字符的 

							

								
								

									Figstack
									
一个基于 Web 的AI代码伴侣工具，可以帮助跨不同编程语言管理和解释代码。
								
								下载 
							
						
）
        stripped.find('*').each(function() {
            if (jQuery(this).is('p,div,span') && jQuery.trim(jQuery(this).text()) === '') {
                jQuery(this).remove();
            }
        });

        args.content = stripped.html();
    }";
    return $in;
}

✅ 关键改进说明：

• 新增 .removeAttr('style') —— 防止粘贴带内联样式的段落破坏主题排版；
• 扩展 data-* 清理列表：除 data-uw-styling-context 外，一并处理 TinyMCE 自身可能插入的 data-mce-* 类属性；
• 增加空标签清理逻辑，提升输出 HTML 的语义纯净度；
• 白名单中补充 和
  ，兼顾基础链接与换行需求（可根据项目实际调整）。

⚠️ 注意事项：

• 此方案依赖前端 jQuery（WordPress 后台默认加载），无需额外引入；
• 若使用 Gutenberg（块编辑器），该钩子仅对经典编辑器模式生效；Gutenberg 需改用 wp_enqueue_editor + editor.BlockEdit 高阶组件拦截，或借助插件如 Paste as Plain Text；
• 生产环境建议配合后端 wp_kses_post() 进行二次过滤，形成前后端双重防护；
• 修改后请清空浏览器缓存及 WordPress 对象缓存，确保 JS 变更即时生效。

通过这一增强型配置，您可确保用户粘贴的内容在进入数据库前已被严格标准化——既保障前端渲染一致性，又降低 XSS 潜在风险，真正实现「干净输入，可靠输出」。