5

スマートワードプレスの人々は、プラグイン開発者は、ページからワードプレスブログ(admin-ajax.php)に返送される各AJAXリクエストでナンスを使用する必要があると言います。

これは、(1)サーバー側でナンスを生成することによって行われます。

$nonce = wp_create_nonce  ('my-nonce');

...(2)AJAXリクエストを送信するJavascriptコードでそのナンスを利用できるようにします。たとえば、次のように行うことができます。

function myplg_emit_scriptblock() {
    $nonce = wp_create_nonce('myplg-nonce');
    echo "<script type='text/javascript'>\n" .
        " var WpPlgSettings = {\n" .
        "   ajaxurl : '" . admin_url( 'admin-ajax.php' ) . "',\n" .
        "   nonce : '" . $nonce . "'\n" .
        " };\n" .
        "</script>\n";
}
add_action('wp_print_scripts','myplg_emit_scriptblock');

...そして(3)javascriptajaxロジックはそのグローバル変数を参照します。

    var url = WpPlgSettings.ajaxurl +
        "?action=my-wp-plg-action&" +
        "nonce=" + WpPlgSettings .nonce +
        "docid=" + id;

    $.ajax({type: "GET",
            url: url,
            headers : { "Accept" : 'application/json' },
            dataType: "json",
            cache: false,
            error: function (xhr, textStatus, errorThrown) {
                ...
            },
            success: function (data, textStatus, xhr) {
                ...
            }
           });

...そして最後に(4)サーバー側ロジックで受信したナンスをチェックします。

add_action( 'wp_ajax_nopriv_skydrv-hotlink', 'myplg_handle_ajax_request' );
add_action( 'wp_ajax_skydrv-hotlink', 'myplg_handle_ajax_request' );
function myplg_handle_ajax_request() {
    check_ajax_referer( 'myplg-nonce', 'nonce' );  // <<=-----
    if (isset($_GET['docid'])) {
        $docid = $_GET['docid'];
        $response = myplg_generate_the_response($docid);
        header( "Content-Type: application/json" );
        echo json_encode( $response ) ;
    }
    else {
        $response = array("error" => "you must specify a docid parameter.");
        echo json_encode( $response ) ;
    }

    exit;
}

しかし、チェックは実際にどのように機能しますか?

4

2 に答える 2

16

いくつかのAJAXプロシージャを改訂して、私は同じ質問に行き着きました。そして、それは関数コードをチェックするという単純な問題です:

function check_ajax_referer( $action = -1, $query_arg = false, $die = true ) {
    if ( $query_arg )
        $nonce = $_REQUEST[$query_arg];
    else
        $nonce = isset($_REQUEST['_ajax_nonce']) ? $_REQUEST['_ajax_nonce'] : $_REQUEST['_wpnonce'];

    $result = wp_verify_nonce( $nonce, $action );

    if ( $die && false == $result ) {
        if ( defined( 'DOING_AJAX' ) && DOING_AJAX )
            wp_die( -1 );
        else
            die( '-1' );
    }

    do_action('check_ajax_referer', $action, $result);

    return $result;
}

であり、パラメータを送信していない場合wp_verify_nonceは、が実行されます。 falsefalse$diewp_die( -1 );

サンプルコードでcheck_ajax_referer()は、は実行を中断-1し、AJAX呼び出しに戻ります。エラーを自分で処理したい場合は、パラメーター$dieを追加して、次のように処理します$do_check

$do_check = check_ajax_referer( 'myplg-nonce', 'nonce', false );

WordPressでAJAXを処理する適切な方法は、の代わりにを使用してJavaScriptファイルを登録エンキュー、およびローカライズすることです。wp_print_styles()ではなくwp_enqueue_scripts()を使用するを参照してくださいwp_enqueue_scriptswp_print_scripts

于 2013-08-21T13:01:49.780 に答える
0

これは、「nonce」コードが指定されたものと一致することをテストするだけなので、ハッカーが侵入してデータベースへのショートカットを取得することはできません。セキュリティコードが一致しない場合、phpは停止し、ページは停止します。

「コードが正しく検証された場合、それは過去に続行されます。そうでない場合、die('-1')がトリガーされ、コードが停止します。」

于 2012-12-10T18:56:54.327 に答える