Secure Custom Fields

Журнал изменений

6.8.6

Release Date 27th May 2026

Безопасность

• Hardened authorization on the oEmbed field’s AJAX search endpoint. The endpoint now requires an authenticated user with content-authoring capability; the legacy unauthenticated entry point is deprecated and will be removed in a future release.
• Hardened front-end acf_form() submission processing so the post_title and post_content form options are respected on save, and the save pipeline only accepts values for fields the rendered form exposed. A new acf/form/allowed_field_keys filter is available for sites that legitimately extend a form at runtime.

6.8.5

Дата выпуска 19 мая 2026

Функционал

Backports 6.8.1 feature work into SCF.

6.8.4

Дата выпуска 30 апреля 2026

Функционал

• Backports 6.8.0 and 6.8.0.1 feature work into SCF.
• AI integration: SCF now integrates with the WordPress Abilities API, allowing external consumers, including AI tools, to manage field groups, post types, and taxonomies when explicitly enabled via the enable_acf_ai feature flag.
• Structured data: SCF can now generate JSON-LD structured data fields when explicitly enabled via the enable_schema feature flag.
• WP-CLI: Added wp scf json and backward-compatible wp acf json commands for importing, exporting, syncing, and checking the status of SCF JSON files.
• Post types: SCF custom post types now support the WordPress 6.9+ Notes editor feature via a new Notes checkbox in the Supports settings.
• JSON Schemas: Added v1 schemas for supported field types and updated field group, post type, and taxonomy schemas.

Улучшения

• Blocks V3: The Open in Expanded Editor button text can now be customized via a new acf.expandedEditorButtonText block.json property.
• Blocks V3: Added an acf/blocks/default_expanded_editor_button_text PHP filter to customize the default Open in Expanded Editor button text.
• Blocks V3: The edit and Open in Expanded Editor buttons can now be hidden via a new acf.expandedEditorButtons block.json property.
• Blocks V3: Added a blocks/expanded_editor_overlay_class JavaScript filter for customizing the Expanded Editor modal overlay class.
• Blocks V3: The block form HTML is now preloaded alongside the preview, eliminating an extra AJAX call on mount.
• Blocks V3: Expanded Editor buttons are now hidden for V3 blocks that have no fields assigned.
• SCF inline script tags now use wp_print_inline_script_tag() for Content Security Policy (CSP) compliance and nonce support.

Исправления

• V3 blocks with WYSIWYG fields no longer enqueue TinyMCE editor assets on the frontend.
• V3 blocks with identical attributes and different InnerBlocks content no longer return cached output from the first block on the frontend.
• Flexible Content fields now properly clean up nested postmeta when a parent layout containing nested Flexible Content fields is deleted.
• The Expanded Editor Done button now stays disabled until the AJAX save completes, preventing data loss.
• Pressing Escape while the Expanded Editor is saving will no longer close the modal, preventing data loss.
• InnerBlocks content containing backslashes or dollar signs now renders correctly.
• Auto Inline Editing now only applies to SCF Blocks V3, resolving incorrect hover/focus borders appearing on V2 blocks.
• Auto Inline Editing blocks now receive block context variables in render templates.
• Auto Inline Editing now works with blocks using renderCallback.
• Validation errors in the V3 Expanded Editor no longer cause a dead-end state.
• Icon Picker selections in Repeater fields no longer disappear.
• Range field number input now syncs to the slider and correctly updates V3 block previews.
• Message field Name and Instructions settings are no longer shown in the field group editor.
• В предварительных версиях WordPress 7.0 поле изображения больше не приводит к сбоям.
• V3 blocks registered via PHP now correctly show the Open in Expanded Editor button.
• Flexible Content disabled layouts now work correctly in Blocks V3.

6.8.3

Дата выпуска 22 апреля 2026

Исправления

• Исправлена ошибка типа панели команд в wp-admin.
• Плагины, требующие ACF, также проходят проверку на совместимость с SCF.
• При вызове REST API теперь учитывается возможность пользователя unfiltered_html.
• Теперь при визуализации предпросмотра блока проверяется имеет ли пользователь право на редактирование целевой записи.
• Поля повторителя с разбивкой на страницы теперь проверяют, имеет ли пользователь право на редактирование целевой записи.
• В AJAX запросах Гибкого содержимого теперь проверяется одноразовый код безопасности (nonce).
• AJAX эндпоинты для клонирования полей теперь обеспечивают соблюдение прав администратора SCF при просмотре списков групп полей.

6.8.2

Дата выпуска 24 марта 2026

Исправления

• Обработчики AJAX: Добавлен префикс к уникальным идентификаторам (nonces) конкретных полей для устранения проблемы, при которой идентификаторы сторонних разработчиков могли рассматриваться как действительные при AJAX вызовах.
• Предпросмотр блока: Проверяет, что пользователь имеет доступ к записи, указанной в контексте блока.
• Поле Повторитель: Проверяет, что пользователь имеет доступ к указанной записи.
• REST API: Применяет KSES очистку к содержимому полей, сохраняемому пользователями, не имеющими прав доступа unfiltered_html.
• REST API: Теперь соблюдается параметр show_in_rest для групп полей в эндпоинте /types.

6.8.1

Дата выпуска 11 марта 2026

Бэкпорты из версии 6.7.1

• Безопасность — AJAX-запросы полей пользователей теперь обеспечивают соблюдение ограничений ролей, настроенных для полей, и проверяют разрешения на поиск.
• Безопасность — AJAX-запросы по полям «Объект записи», «Взаимосвязь» и «Ссылка на страницу» теперь принудительно применяют настроенные для полей ограничения по статусу записи, типу записи и таксономии.
• Здоровье сайта — Отслеживание блоков с автоматическим встроенным редактированием.

6.8.0

Дата выпуска 30 декабря 2025

Функционал

• Интеграция возможностей: добавлены возможности полей для групп полей.
• Интеграция возможностей: добавлены возможности удаления/восстановления для внутренних типов записей.
• Все бэкпорты до версии 6.7.0.2.
• Схемы JSON: Добавлено несколько схем полей.
• WooCommerce HPOS: Добавлена поддержка пользовательских полей в любых типах заказов WooCommerce.
• Добавлены PHPUnit тесты.

Исправления

• Скрывайте дублирующиеся команды палитры команд в WP 6.9+.
• Исправлена проверка схемы полей для WP Rest API.
• Исправлена функциональность переключения чекбоксов.

6.7.0

6.7.1

Дата выпуска 10 декабря 2025

Функционал

• Схемы JSON: Добавлена схема страниц настроек.

Исправления

• Исправлена слишком ранняя проверка схем, приводящая к фатальной ошибке.
• Исправление валидации блоков в WordPress 6.2.

6.7.0

Дата выпуска 3 декабря 2025

Функционал

• Проверена совместимость с WordPress 6.9.
• Поддержка возможностей. Таксономия возможностей.
• Схемы JSON. Схема таксономии.

6.6.0

Дата выпуска 19 ноября 2025

Функционал

• Бэкпорт функций до версии 6.6.0.
• Интеграция API с возможностями. Возможности типов записей.
• Инфраструктура валидации схем JSON.

Исправления

• Исправлена функция в network.php
• Ярлык SCF в меню «Больше».
• Получение formatted_value из исходного значения поля.
• Blocks V3: Исправление неработающего гибкого содержимого в боковой панели — модальном окне.
• Используйте определенные префиксы сущностей для генерации ключей при дублировании.

6.5.7

Дата выпуска 28 августа 2025

Функционал

• Макеты гибкого содержимого теперь можно переименовывать в редакторе записей, что дает редакторам контента больше ясности при управлении макетами.
• Теперь макеты гибкого содержимого можно отключить, не позволяя им отображаться во фронтенде без необходимости их удаления.
• Теперь можно сворачивать и разворачивать сразу несколько макетов гибкого содержимого для более быстрого редактирования.
• При редактировании макета гибкого содержимого теперь выделяется редактируемый макет, что облегчает его идентификацию.
• Поля подборщиков даты и времени теперь можно настроить так, чтобы по умолчанию стояла текущая дата.
• Вкладки подборщика иконки теперь работают правильно при использовании внутри блока ACF.
• Дублирование группы полей больше не приводит к фатальной ошибке при использовании русских переводов.
• Классы ACF больше не используют динамические свойства класса, что улучшает совместимость с PHP 8.2+.
• Кнопки сворачивания и разворачивания метабокса группы полей больше не смещены в редакторе записей.
• Теперь HTML экранируется при ошибках валидации полей и всплывающих подсказках.
• Добавлен новый параметр источника в REST API эндпоинт /wp/v2/types, который позволяет фильтровать типы записей по их происхождению: core (встроенные в WordPress), scf (для типов, управляемых SCF) или other для остальных CPT.

Безопасность

– Небезопасный HTML в ярлыках групп полей теперь корректно экранируется для условно загружаемых групп полей, что устраняет уязвимость выполнения JS в классическом редакторе.
– HTML в ярлыках групп полей теперь экранируется при выводе в админке ACF.
– Элементы Двунаправленное и Условная логика Select2 больше не экранируют HTML в ярлыках полей и заголовках записей.
– Функция acf.escHtml теперь использует стороннюю библиотеку DOMPurify, чтобы гарантировать, что весь небезопасный HTML будет удален. Новый JS-фильтр esc_html_dompurify_config может быть использован для изменения поведения по умолчанию.
– Заголовки записей теперь правильно экранируются, когда они выводятся кодом ACF. Спасибо Шого Кумамару из LAC Co., Ltd. за ответственное раскрытие информации.
– При использовании библиотеки Select2 версии 3 теперь отображается уведомление для администратора, что она уже устарела в пользу версии 4.

6.5.6

Выпуск отменен из-за ошибок SVN.

6.5.5

Дата выпуска 31 июля 2025

Функционал

• Свяжите атрибуты блока с пользовательскими полями через пользовательский интерфейс.
• Удалено слово «Новый» из значений метки add-new* по умолчанию.

Исправление ошибок

• Исправление ошибки: Предотвращение фатальной ошибки, если класс не существует в бета-функциях.

6.5.4

Дата выпуска 30 июля 2025

Возврат к 6.5.2.

6.5.2

Дата выпуска 30 июля 2025

Функционал

• Свяжите атрибуты блока с пользовательскими полями через пользовательский интерфейс.
• Удалено слово «Новый» из значений метки add-new* по умолчанию.

6.5.1

Дата выпуска 2 июля 2025

Исправление ошибок

• Палитра команд: используйте @wordpress\icons вместо Dashicons.

6.5.0

Дата выпуска 23 июня 2025

Улучшения и возможности

• Добавлена поддержка Палитры команд.
• Добавлен предварительный просмотр редактора в исходный код acf-field.
• Добавлен ​​эндпоинт для получения пользовательских полей типа записей.
• Добавлено навигационное меню как тип поля.
• Добавлена ​​совместимость с Woo HPOS для полей заказа и подписок. ( Перенесено из ACF )
• Создавайте новые параметры при редактировании значений полей в селекторе. ( Перенесено из ACF )
• Предупреждающее уведомление «Экранированный HTML» теперь отключено по умолчанию. ( Перенесено из ACF )
• Добавлен новый фильтр acf/fields/icon_picker/{tab_name}/icons ( Перенесено из ACF )

Исправление ошибок

• Обновление инициализации объекта acfL10n для обеспечения его глобальной доступности.
• Блоки SCF теперь принудительно переводятся в режим предварительного просмотра при редактировании синхронизированного паттерна. ( Перенесено из ACF )
• SCF больше не вызывает бесконечный цикл в bbPress при редактировании ответов. ( Перенесено из ACF )
• Изменение типа поля больше не активирует параметр «Разрешить доступ к значению в интерфейсе редактора». ( Перенесено из ACF )
• Блоки, зарегистрированные через acf_register_block_type() со значением parent, равным null, больше не терпят неудачу при регистрации. ( Перенесено из ACF )
• Исправлена ​​AJAX-пагинация повторителя. ( Перенесено из ACF )
• Поля повторители с пагинацией больше не сохраняют повторяющиеся значения при сохранении в заказе WooCommerce с отключенным HPOS ( Перенесено из ACF )

Тестирование

• Добавлен первоначальный пакет e2e-тестов.

6.4.2

Дата выпуска 14 апреля 2025

• Решена проблема с некорректным парсингом перевода шорткода.
• Улучшена проверка URL-адреса в админке поля.

6.4.1

Дата выпуска 7 марта 2025

• Ответвлено от Advanced Custom Fields®
• Различные обновления стандартизации кода.
• Переход всех строк на пакеты переводов WordPress.org.

6.3.9

Дата выпуска 22 октября 2024

• Обновление версии

6.3.6.3

Дата выпуска 15 октября 2024

• Безопасность — Редактирование поля в редакторе группы полей больше не может выполнить сохраненную XSS-уязвимость. Спасибо Duc Luong Tran (janlele91) из Viettel Cyber Security за огласку
• Безопасность — Колбэк-функции метабоксов типа записей и таксономии больше не имеют доступ к глобальным переменным, ещё больше укрепляя исправление в версии 6.3.6.2
• Исправление — SCF поля теперь корректно проверяются при использовании в редакторе блоков и прикреплении к боковой панели

6.3.6.2

Дата выпуска 12 октября 2024

• Безопасность — Усиление исправления в 6.3.6.1, чтобы оно распространялось и на $_REQUEST.
• Ответвление — Изменение названия плагина на Secure Custom Fields.

6.3.6.1

Дата выпуска 7 октября 2024

• Безопасность — Колбэк-функции метабоксов типа записей и таксономии, определенные SCF, больше не имеют доступа к данным $_POST. (Спасибо команде безопасности Automattic за огласку)