WP JSON为用户带来便利的同时,某种程度上降低了安全性。如果开发不够严谨,它将会暴露站点的一些信息。
比如:https://10.1pxeye.com/wp-json/wp/v2/users
用户可以直接看到十分钟课堂的用户信息。
那么下面的代码可以在用户未登录时抛出错误提示,这样可以有效避开通过wp json获取数据。

add_filter( 'rest_authentication_errors', function( $result ) {
    if ( ! empty( $result ) ) {
        return $result;
    }
    if ( ! is_user_logged_in() ) {
        return new WP_Error( 'Access denied', 'You have no permission to handle it.', array( 'status' => 401 ) );
    }
    return $result;
});

以我的个人站点为例可抛出错误:

本篇文章相关标签: