我正在尝试使用 NGINX 限制对 WordPress REST API 的访问(它是主要的后端server {}
块,没有代理):
location ~ ^/wp-json/ {
allow x.x.x.x;
deny all;
}
404
问题是,当尝试使用该配置访问 API 端点(例如)时,WordPress 总是返回 a www.example.com/wp-json/wp/v2/pages
(无论是浏览器,它正在传递所有 Cookie 和授权内容,或者cURL
):
curl -X GET -Ik https://www.example.com/wp-json/wp/v2/taxonomies
HTTP/2 404
date: Thu, 17 Jan 2019 12:40:12 GMT
content-type: application/json; charset=UTF-8
x-robots-tag: noindex
x-content-type-options: nosniff
access-control-expose-headers: X-WP-Total, X-WP-TotalPages
access-control-allow-headers: Authorization, Content-Type
但是,一旦我注释掉该location
块,当我使用浏览器访问该站点时就不会出现错误。
恐怕会发生这种情况,因为我需要传递一些 HTTP 标头以进行授权,因为我的 REQUEST 中有这些 HTTP 标头(使用 chrome devtools 检查):
:authority: www.example.com
:method: GET
:path: /wp-json/wp/v2/taxonomies?context=edit&lang=en&_locale=user
:scheme: https
accept: application/json, */*;q=0.1
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9
(!) ---> authorization: Basic crf344...fdfs334
cache-control: no-cache
(!) ---> cookie: wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_282...7da; wp-settings-1=mfo...off; wp-settings-time-1=1547726728
pragma: no-cache
referer: https://www.example.com/wp-admin/post.php?post=193&action=edit
(!) ---> x-wp-nonce: df238g3ds2
有人可以帮我location
为 WordPress REST API 正确配置块吗?
编辑:
如果我添加相应的 HTTP 标头200
,我设法得到一个:cURL
curl -X GET -H "authorization: Basic c2F...TVY" \
-H "cookie: wordpress_test_cookie=WP+...7da; \
wp-settings-1=mfo...off; \
wp-settings-time-1=1547726728"
-H "x-wp-nonce: df238g3ds2" \
-H "referer: https://www.example.com/wp-admin/post.php?post=193&action=edit" \
-I https://www.example.com/wp-json/wp/v2/pages
我怎么能对 NGINXlocation
块做同样的事情?
根据您的要求,我发布我的评论作为答案:
您可以使用简单的位置,而不是使用正则表达式(可能会慢一点)。此外,由于将“漂亮”永久链接重定向到正确 PHP 文件的逻辑位于另一个位置指令中,因此您需要将其复制到新的自定义位置:
注意:您可能需要调整实际
try_files
位置