我正在尝试使用 NGINX 限制对 WordPress REST API 的访问(它是主要的后端块server {},没有代理):
location ~ ^/wp-json/ {
allow x.x.x.x;
deny all;
}
问题是,404当尝试使用该www.example.com/wp-json/wp/v2/pages配置访问 API 端点(例如)时,WordPress 总是返回一个(无论是浏览器,它传递了所有的 Cookies 和授权内容,还是cURL):
curl -X GET -Ik https://www.example.com/wp-json/wp/v2/taxonomies
HTTP/2 404
date: Thu, 17 Jan 2019 12:40:12 GMT
content-type: application/json; charset=UTF-8
x-robots-tag: noindex
x-content-type-options: nosniff
access-control-expose-headers: X-WP-Total, X-WP-TotalPages
access-control-allow-headers: Authorization, Content-Type
但是一旦我注释掉该location块,当我使用浏览器访问该网站时就不会出现任何错误。
我担心会发生这种情况,因为我需要传递一些 HTTP 标头以用于授权目的,因为我的请求中有这些 HTTP 标头(使用 chrome devtools 检查):
:authority: www.example.com
:method: GET
:path: /wp-json/wp/v2/taxonomies?context=edit&lang=en&_locale=user
:scheme: https
accept: application/json, */*;q=0.1
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9
(!) ---> authorization: Basic crf344...fdfs334
cache-control: no-cache
(!) ---> cookie: wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_282...7da; wp-settings-1=mfo...off; wp-settings-time-1=1547726728
pragma: no-cache
referer: https://www.example.com/wp-admin/post.php?post=193&action=edit
(!) ---> x-wp-nonce: df238g3ds2
location有人可以帮我为 WordPress REST API 正确配置块吗?
编辑:
如果我添加相应的 HTTP 标头,我就能获得200:cURL
curl -X GET -H "authorization: Basic c2F...TVY" \
-H "cookie: wordpress_test_cookie=WP+...7da; \
wp-settings-1=mfo...off; \
wp-settings-time-1=1547726728"
-H "x-wp-nonce: df238g3ds2" \
-H "referer: https://www.example.com/wp-admin/post.php?post=193&action=edit" \
-I https://www.example.com/wp-json/wp/v2/pages
我怎样才能对 NGINX 块执行相同操作location?
答案1
按照您的要求,我发表我的评论作为答复:
您可以使用简单的位置,而不是使用正则表达式(这可能会慢一点)。此外,由于重定向的逻辑“漂亮” 固定链接正确的 PHP 文件位于另一个位置指令内,您需要将其复制到新的自定义位置:
location /wp-json/ {
allow x.x.x.x;
deny all;
try_files $uri $uri/ /index.php?$args;
}
注意:你可能需要调整实际try_files位置