WordPress 双连发存储通杀 XSS 就这样爆爆爆！可惜之余，说下：

1. 这种字符集不一致导致的问题会是个普遍问题，不仅是导致 XSS；
2. 要完美通杀或 IE 通杀得理解 CSS 导致的一些本质特性；
3. 截断问题真是个可爱问题；
4. WordPress 的过滤机制真可爱；
5. 我们团队的应急真赞；

具体链接：
https://cedricvb.be/post/wordpress-stored-xss-vulnerability-4-1-2/

修补之后，由于 MySQL text 类型的字段最大 64K，之后就截断，又导致 XSS。

无论怎么修补吧，utf8mb4 字符集的引入会是 WordPress 等 Web 组件其中一个噩梦的开始。

具体细节自己去摸索吧。