Вы всегда можете подать прошение wp, чтобы добавить свой виджет в их «одобренный» список, но кто знает, сколько времени это займет. Вы говорите о способе обойти правила, которыми они располагают при публикации произвольного сценария. В частности, JavaScript-эксплойты myspace повысили осведомленность о возможности таких обходных путей, поэтому вам, возможно, будет нелегко обойти ограничения - однако вот классические варианты:
поместите JavaScript в странное место, как и везде, где выполняется URL. например:
<div style="background:url('javascript:alert(this);');" />
иногда слово «javascript» вырезают, но иногда вы можете просмотреть его как java \ nscript или что-то подобное.
иногда кавычки удаляются - попробуйте String.fromCharCode (34), чтобы обойти это. Кроме того, в общем случае используйте eval ("codepart1" + "codepart2") для обхода запрещенных слов или символов.
проникновение в javascript - сложная задача, в основном использующая неортодоксальное (возможно, не документированное) поведение браузера для выполнения произвольного javascript на странице. Добро пожаловать на взлом.