发布时间:2020-09-17
使用 Nonce 防止 WordPress 网站受到 CSRF 攻击,
使用 Nonce ( number used once ) 是防止 WordPress 插件受到 CSRF (cross-site request forgery) 攻击最好的方法,WordPress Nonce 通过提供一个随机数,来实现在数据请求(比如,在后台保存插件选项,AJAS 请求,执行其他操作等等)的时候防止未授权的请求。
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script>
WordPress Nonce 的主要工作流程:
首先可以使用 wp_create_nonce()
函数创建 nonce
$nonce= wp_create_nonce('wpjam');
然后将生成 $nonce 的值作为参数传递给请求中,如:
<a href="admin.php?page=wpjam&_wpnonce=<?php echo $nonce ?>">
最后在执行其他动作的时候,使用 wp_verify_nonce()
函数验证下 nonce。
$nonce = $_REQUEST['_wpnonce'];
if (!wp_verify_nonce($nonce, 'wpjam') ) {
wp_die("非法操作");
}
所以整个过程还是非常简单的。
WordPress 还提供一些函数简化 nonce 在特殊场景下的使用。比如在表单中,可以使用函数 wp_nonce_field()
输出一个值为 nonce 的隐藏输入框,可以在表单中任意位置插入:
<form action=... >
<?php wp_nonce_field('wpjam'); ?>
...
</form>
如果想在链接中加入 nonce,可以使用 wp_nonce_url()
函数:
<a href="<?php wp_nonce_url($url, 'wpjam'); ?>">
如果在 WordPress 后台页面,可以使用 check_admin_referer()
函数验证 nonce,它会自动从链接的查询参数中获取 nonce 并验证它:
check_admin_referer( 'wpjam');
在 AJAX 脚本中 nonce 也是非常容易的,首先使用 wp_create_nonce()
函数创建 nonce:
$nonce = wp_create_nonce('wpjam');
然后将 $nonce 作为 _ajax_nonce 参数的值传递给 AJAX 调用:
$("#text").load(".../ajax_response.php?_ajax_nonce=<?php echo $nonce ?>");
最后在 ajax_response.php 函数中使用 check_ajax_referer()
函数进行验证:
check_ajax_referer('wpjam');
举个详细的例子,比如微信机器人 WordPress 插件,统计微信分享的 AJAX 代码中:
var nonce = <?php echo wp_create_nonce( 'weixin_robot' ) ?>
jQuery.ajax({
type: "post",
url: ajax_url,
data: {
action: 'weixin_share',
share_type: share_type,
post_id: post_id,
link: link,
_ajax_nonce: nonce
},
success: function(html){
alert(html);
}
});
服务器处理代码:
check_ajax_referer( "weixin_robot" );
本站推荐使用的主机:,国外主机建议使用。
全站搜索