1

私の WordPress プラグインであるAjax load Moreは現在、フロント エンドで admin-ajax.php を呼び出すナンス変数を使用しており、悪意のあるものなど、特定のタイプの誤用から URL を保護するのに役立ちます。

私が抱えている問題は、WP Super Cache、WP Fastest Cache、W3 Total Cache などのさまざまなキャッシュ プラグインが nonce 変数をキャッシュしているため、プラグインが nonce を検証しようとするとエラーが発生することです。

私の質問は、ナンス検証が必要ですか?

プラグインは WP_query() を使用して投稿データを取得するだけで、DB には何も送信しないので、やり過ぎのように思えます。

4

1 に答える 1

1

「ノンス検証」は、クロスサイト リクエスト フォージェリ (CSRF) 攻撃から保護するために使用されます。wordpress は実際には nonce (number-used-once) を生成せず、代わりにそれらを再利用するため、引用符で囲みます。

つまり、リクエストが攻撃者ではなく、ドメインからのものであることを確認する必要があります。ナンスは、リクエスタが秘密情報を持っていることを「証明」し、ブラウザが他の人が持つことを防ぎます。

保護は必要ですか?リクエストが何かを行う場合、はい。つまり、何かを作成または変更している場合は、何らかの形の保護が必要です。ブラウザーは読み取り要求を保護するので、心配する必要はありません。

詳細については(私が書いたブログ投稿)。

于 2015-04-23T14:37:13.590 に答える