【发布时间】:2018-08-30 15:51:40
【问题描述】:
我正在尝试了解 wordpress nonces 在安全性方面的工作原理。 nonce 是一个使用一次的号码,但是根据wordpress,它最多可以有效24小时,这没有任何意义,在此期间可以使用9999次(来自同一客户端)。
我认为 wordpress nonce 实际上是一个使用过一次的数字,并且 nonce 仅对一次性使用有效,但事实并非如此。我想为了更好的安全性,一次性使用号码会更好,例如你有一个评论系统,有人点击“回复”两次。不是插入两次评论,而是插入一次,因为在两个请求中给出了一次有效的随机数(相同的随机数)。
我有什么问题吗?这些 wordpress 随机数的目的是什么?
【问题讨论】: