我正在为WordPress开发一个自定义插件,它需要评估我的自定义插件文件夹中的图像。为简单起见,我可以使用wp_plugin_url来访问代码中所需的图像。但是,我想知道这可能会带来安全漏洞,其中插件文件夹路径将以纯文本形式提供。我正在考虑使用WordPress的重写规则来实现目的。我的问题是重写规则如何使用在我的自定义插件文件夹中提供静态图像,还有其他选项吗?
使用插件文件夹中的图像没有安全漏洞,是一种常见做法。请注意,您不会公开插件路径。举个例子。
服务器上的插件路径:
/var/www/my-wp-site/public_html/wp-content/plugins/my-plugin
插件网址:
http://my-site.com/wp-content/plugins/my-plugin
路径和网址不同,只有共同的结尾。知道 url 不会给攻击者带来任何好处。