我在WP REST API中变得肮脏。我已经看过一些教程,并且有一个关于使用JavaScript创建新帖子的问题。
在this教程中,帖子var status = 'draft';(请参见代码)。 所以我只是担心有人无法破解这种身份吗?
jQuery( document ).ready( function ( $ ) {
$( '#post-submission-form' ).on( 'submit', function(e) {
e.preventDefault();
var title = $( '#post-submission-title' ).val();
var excerpt = $( '#post-submission-excerpt' ).val();
var content = $( '#post-submission-content' ).val();
var status = 'draft'; // this code
var data = {
title: title,
excerpt: excerpt,
content: content
};
$.ajax({
method: "POST",
url: POST_SUBMITTER.root + 'wp/v2/posts',
data: data,
beforeSend: function ( xhr ) {
xhr.setRequestHeader( 'X-WP-Nonce', POST_SUBMITTER.nonce );
},
success : function( response ) {
console.log( response );
alert( POST_SUBMITTER.success );
},
fail : function( response ) {
console.log( response );
alert( POST_SUBMITTER.failure );
}
});
});
} );
答案 0 :(得分:0)
用户始终可以操纵javascript / jquery请求中发送的数据,因为它们都位于客户端
无法确保哪些数据来自客户端。这将负担转移给服务器以验证每个传入请求。确保用户提交的值与期望值没有不同的唯一方法是处理该服务器端。您在客户端所做的任何事情都可以被访问您网站的任何人所操纵。