我刚刚发现/wp-json 它似乎泄露了一些不必要的信息。整个json文件太大,无法扫描所有内容,所以我决定问一个问题。
我特别担心的一件事是,它会泄露用户slug。哪种似乎没有必要发布网站作者的用户id。我应该担心吗?还是这很平常?
它还提供了哪些其他信息?我应该担心并采取任何预防措施吗?
谢谢
最合适的回答,由SO网友:David Sword 整理而成
/wp-json/ 是Wordpress REST API的基础部分
https://developer.wordpress.org/rest-api/
作者身份证没什么大不了的。我可以想象,在你的主题中,每次帖子作者的名字显示出来,在显示名字的HTML中,都会有包含作者ID的元素类。在公开可见的源代码中显示是正常的,只需在你的网站上进行查询,就很容易发现“黑客”ID
/?author=x 并手动将ID映射到用户名。
上面的链接详细介绍了REST API,以及它的功能和可以显示的内容。我过于简化了,但是:REST API基本上就是整个Wordpress站点,采用JSON格式,可以查询和执行特定的操作。
如果对API感到紧张而不使用它,那么easy to remove.
