0

私はajaxを使用してワードプレスプラグインを構築しており、jsonデータを詮索好きな目やデータスクレーパーから保護しようとしています。

私の考え...サーバー側では、jqueryスクリプトへのフォーム送信内の非表示のhtmlフィールドにナンスを送信します。

このスクリプトは、PHPファイルからいくつかのjsonデータをGETを介して要求します。

phpファイルがGETリクエストに応答する前に、まずナンスが有効であることを確認し、有効な場合はjsonデータを返します。そうでない場合は、何も返さない/死ぬ/何かクールなことをして、そのIPアドレスを一定時間ロックアウトします。

スクレーパーがgetリクエストを使用してデータファイルに直接アクセスしたが、ナンスが正しくない場合、データは返されません。人がデータファイルをのぞき込んでも、ナンスがない場合は、何も表示されません...これは正しいですか?ナンスは一度しか使用されていないことを知っているので、古いナンスを持っていても、ワードプレスで新しいナンスが生成されない限り、データを表示することはできませんか?

これは可能ですか、それとも私はノンスの要点を完全に見逃しましたか?

4

1 に答える 1

1

WordPress ナンスがどのように機能するかについての一般的な考えを持っているように思えますが、とにかくここにいくつかの読み物があります:

Mark Jaquith - WordPress ナンス
Vladimir Prelovac - WordPress プラグインでナンスを使用する

次の点に注意する必要があると思います。

  1. このすべての機能が主に WordPress の管理者側で利用されている場合、スクレイパーが脅威と見なされるには、通常のユーザーと同じ資格情報が必要になることも理解する必要があります。スクレイパーがユーザー名とパスワードなしで管理パネルをスクレイピングするにはどうすればよいですか? できません。Wordpress が独自に採用しているコア セキュリティに満足している場合、追加のナンス機能は、存在しない脅威を排除するためのフラッシュ アンド フレアです。
  2. 機密データを管理パネルから切り離して保管する場合、Nonce はそれを保護する 1 つの方法になると思いますが、それは実際に Nonce の目的ではありません。Wordpress の Nonce 機能に頼るのではなく、情報を保護するためのよりクリーンな方法がたくさんあるので、より適切な代替手段を検討することを検討してください。
  3. IP バンニングは巧妙ですが、IP アドレスは簡単に偽造される可能性があり、意図しない結果をもたらす可能性があるため、これは絶対確実な方法ではないことも理解しておく必要があります。個人情報にアクセスしようとした人物の IP アドレスを禁止することには成功するかもしれませんが、その人物がネットワーク経由でアクセスしようとした場合はどうなるでしょうか? 1 人のユーザーだけでなく、ネットワーク全体がサイトにアクセスすることを事実上禁止しました。

全体として、特定の作業に適したツールを使用していることを確認する必要があります。この目的で Nonce を使用することは確かに可能だと思いますが、理想からはほど遠いものです。

于 2013-01-02T02:02:05.827 に答える