【问题标题】:How do wordpress nonces work?wordpress 随机数是如何工作的?
【发布时间】:2018-08-30 15:51:40
【问题描述】:

我正在尝试了解 wordpress nonces 在安全性方面的工作原理。 nonce 是一个使用一次的号码,但是根据wordpress,它最多可以有效24小时,这没有任何意义,在此期间可以使用9999次(来自同一客户端)。

我认为 wordpress nonce 实际上是一个使用过一次的数字,并且 nonce 仅对一次性使用有效,但事实并非如此。我想为了更好的安全性,一次性使用号码会更好,例如你有一个评论系统,有人点击“回复”两次。不是插入两次评论,而是插入一次,因为在两个请求中给出了一次有效的随机数(相同的随机数)。

我有什么问题吗?这些 wordpress 随机数的目的是什么?

【问题讨论】:

    标签: wordpress security nonce


    【解决方案1】:

    你是对的 WordPress 随机数不是一个实际的随机数。在nonce有效(12-24小时)check nonce tick function的一段时间内可以多次使用。需要使用nonce的主要原因是为了防止CSRF(Cross Site Request Forgery)和恶意脚本。

    但在所有其他安全情况下,您不应依赖 WP nonce。使用current_user_can() 实际检查当前用户在您的网站上可以做什么和不能做什么。 Check docs

    【讨论】:

      【解决方案2】:

      你搞错了。虽然 nonce 的有效期最长为 24 小时,但过期后会生成一个新的,但一个 nonce 只能使用一次。

      因此名称 nonce - n数字只使用了一次

      这是一个网站,可以帮助您更多地了解 nonces 背后的整个事情 - https://codex.wordpress.org/WordPress_Nonces

      【讨论】:

        猜你喜欢
        • 2015-10-10
        • 2012-11-12
        • 1970-01-01
        • 1970-01-01
        • 2012-07-08
        • 2010-12-15
        • 2015-04-08
        • 2019-07-02
        • 2020-05-29
        相关资源
        最近更新 更多