Безопасен ли WP API 2 с точки зрения манипуляций с JS в браузере?

Question

[Aidark]

К примеру добавляем post по ссылке /wp/v2/posts
При этом хотим, что бы запись ушла сперва на премодерацию:
status: 'pending'

Может ли злоумышленник простой правкой исходников на своей стороне изменить строку на:
status: 'publish' ?

Если да - то как этого избежать?

Пример кода

var data = {
            title: title,
           content: content,
	   status: 'pending' // Возможна правка клиентом на status: 'publish' ?
        };
$.ajax({
            method: "POST",
            url: 'http://example.com/wp/v2/posts',
            data: data,
            beforeSend: function ( xhr ) {
                xhr.setRequestHeader( 'X-WP-Nonce', api.nonce );
            }
         });

Answer 1

[Игорь Воротнёв]

Во-первых, статус передавать не надо, пусть WordPress на своей стороне смотрит capabilities пользователя.
Во-вторых, передавайте пользователя, и именно для него capabilities должны быть ограничены, как для автора (role author). Почитайте тут.

Comments

[Aidark]

Role author - а если форма подразумевается как доступная без регистрации?
Если не передавать статус, все равно ведь можно добавить переменную его передающую?

[Игорь Воротнёв]

Aidark: переменную то можно передать, но пост будет создаваться от имени юзера. И если у юзера нет права на публикацию, то пост встанет в draft или pending автоматически. Что касается добавления постов без регистрации - это штука стремная изначально, нельзя разрешать всем подряд писать в базу. Можно хендлить без авторизации или пилить свой упрощенный метод - см. тут https://apppresser.com/custom-wp-api-authentication/, но я бы не стал. Во-первых, это точка входа для спама, во-вторых, для взлома.

Answer 2

[Aidark]

Можно ли считать это решением для frontend posting без регистрации?
functions.php :
enqueue script some-js

wp_localize_script( 'some-js', 'FRONT_END', array(
			'root' => esc_url_raw( rest_url() ),
			'nonce' => wp_create_nonce( 'wp_rest' ),
		        'current_user_id' => // ID конкретного пользователя созданного для публикации из фронтенда?
		)
	);

Comments

[Игорь Воротнёв]

да, я тоже в первую очередь подумал о таком варианте. Надо тестить.