您当前的位置:首页 > TAG信息列表 > nonce
可通过开源获得的随机数操作和名称
我正在使用一个插件,它可以公开其代码。因此,任何人都可以看到$action 和$name 用于生成nonce的参数。这是否会使我的站点更容易受到攻击,因为这会降低这些参数提供的附加安全性?因此,我是否应该用自己的值替换这些参数?谢谢
使用AJAX加载帖子时使用随机数
这更像是一个安全问题。我有一个博客布局,在我的帖子底部有一个加载器,当你找到它时,会触发ajax调用,它会调用将呈现更多帖子的函数。这一切都有效。但有一件事困扰着我:我应该使用POST 或GET 方法这个GET 使用执行代码嗅探时不会触发nonce问题phpcs, 而与POST 我得到了无需nonce验证即可处理表单数据错误现在,我所做的就是通过调用连接到wp_ajax 和wp_ajax_nopriv 行动。在这种情况下,我应该担心安全性,并在我的博客中附加一个nonce字段,还是只使用GET 方法替代?
关于用户权限和随机数的AJAX安全
我正在开发一个插件,用户可以在其中上载、查看和删除一些私人文件。显然,用户应该始终只能处理自己的文件,而不能处理其他用户的文件。我想知道出于安全原因,使用ajax执行这些操作是否不明智。主要是因为https://codex.wordpress.org/AJAX_in_Plugins#Ajax_on_the_Viewer-Facing_Side states that everything executed through admin-ajax.php is executed \'with elevated