WP JSON为用户带来便利的同时,某种程度上降低了安全性。如果开发不够严谨,它将会暴露站点的一些信息。
比如:https://10.1pxeye.com/wp-json/wp/v2/users
用户可以直接看到十分钟课堂的用户信息。
那么下面的代码可以在用户未登录,或不是管理员时抛出错误提示,这样可以有效避开通过wp json获取数据。
特定情况下放行:
add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! (is_user_logged_in() && current_user_can('administrator')) ) {
return new WP_Error( 'Access denied', 'You have no permission to handle it.', array( 'status' => 401 ) );
}
return $result;
});
评论区
发表新的留言
您可以留言提出您的疑问或建议。
您的留言得到回复时,会通过您填写的邮箱提醒您。