我正在使用ajax构建一个wordpress插件,并希望保护json数据免受窥探和数据抓取。
我的想法......服务器端,我将表单提交中隐藏的html字段中的随机数发送到jquery脚本。
此脚本通过GET从php文件请求一些json数据。
在php文件响应GET请求之前,它首先检查nonce是否有效,如果是,则返回json数据。如果没有,则返回任何/ die /做一些很酷的事情来锁定该IP地址一段时间。
如果刮刀直接使用get请求进入数据文件,但是nonce不正确,则不返回任何数据。如果一个人偷看数据文件,但他们没有nonce,那么他们什么也看不见......这是正确的吗?我知道nonce只使用一次,所以即使他们有一个旧的nonce,他们仍然无法查看数据,除非wordpress生成一个新的nonce?
这是可能还是我完全错过了现时的点?
答案 0 :(得分:1)
在我看来,你对Wordpress nonce如何工作有一般的想法,但无论如何这里有一些阅读:
Mark Jaquith - WordPress Nonces
Vladimir Prelovac - Using Nonces in WordPress Plugins
我认为你需要记住一些事情:
总而言之,您应该确保为任何特定工作使用正确的工具。我认为将Nonce用于此目的当然是可能的,但它远非理想。