我试图理解wordpress nonces如何在安全性方面起作用。 nonce用于一次使用的数字,但根据wordpress,它可以在24小时内有效,这没有任何意义,在此期间可以使用9999次(来自同一客户端)。
我认为wordpress nonce实际上是一次使用过的数字,而nonce只对一次性使用有效,但事实并非如此。我想为了更好的安全性,一次性使用次数会更好,例如你有一个评论系统,有人点击"回复"两次。由于两个请求中给出的一次性有效随机数(同一个),因此不会插入两次注释,而是插入一次。
我出错了吗?那些wordpress nonces的目的是什么?
答案 0 :(得分:0)
你有点不对劲。尽管nonce在24小时内有效,但在此之后它将过期并生成一个新的nonce,但nonce只能使用一次。
因此名称 nonce - n umber仅使用一次。
这是一个网站,可以帮助您更多地了解在nonces背后的所有内容 - https://codex.wordpress.org/WordPress_Nonces
答案 1 :(得分:0)
您是对的WordPress随机数不是实际的随机数。随机数有效(12-24小时)check nonce tick function期间,可以在一段时间内多次使用它。您需要使用随机数的主要原因是为了防止CSRF(跨站点请求伪造)和恶意脚本。
但是在所有其他安全情况下,您不应该依赖WP nonce。使用current_user_can()实际检查当前用户可以和不能在您的网站上做什么。 Check docs