默默无闻的安全不是一个好的模式。您必须有一个URL才能进行XHR或JSONP调用。任何了解使用开发人员工具、Firebug等搜索DOM的人。。。可以轻松找到远程脚本URL。对我来说,这是一个错误的问题。
与安全性更相关的问题是,如何强化AJAX处理程序脚本,防止不必要的入侵?
这个问题的简单答案是使用WordPress nonces来验证请求的真实性。
使用在表单中创建nonce字段wp_create_nonce()check_ajax_referer()如果您想确保请求来自wp admin,或者只需在没有API函数的情况下直接验证nonce,则可以使用其他函数。
退房
this page 有关WP Nonces的更多信息,请参阅Codex。
您还可以使用以下条件current_user_can() 为特权AJAX请求添加额外的安全层。如果发现有人滥用该脚本,请开始记录IP。如果多次尝试后请求未能满足标准,请阻止有问题的IP地址。
底线是确保您的代码是安全的。隐藏或隐藏脚本并不是适当安全性的好选择。如果有足够的动机,窥探者会找到他们想要的东西。
