您当前的位置:首页 > TAG信息列表 > nonce
无头Wordpress:如何验证前端请求?
我设想在后端使用Wordpress来处理React。前端的js如下:Wordpress安装在http://example.com/api</做出反应。js脚本加载到http://example.com/index.html, 通过脚本标记,然后注入到根div中,但存在一个问题。如果没有wordpress控制注册和排队,我看不到如何将nonce本地化到React中。js脚本文件。没有nonce,路由将无法进行身份验证,因为cookie验证需要在X-WP-Nonce 标题。https://develop
什么时候使用wp_verify_nonce有用
我知道wp_verify_nonce() 用于确保$_POST 来自一个安全的地方。我正在开发一个WordPress插件,它可以创建自定义列表。为了做到这一点,网站所有者必须访问您的wp-admin 服务器必须使用wp_create_nonce() &;wp_verify_nonce() 是否只有在wp admin登录后才能访问表单?
对每个用户使用全局wp随机数而不是每个操作使用随机数是否安全?
请参考我对格雷格答案的评论,以了解与他的答案相关的更多细节,这些答案也与此相关我通过Controller, 这是一个简单地本地化端点并进一步调用它的类,因此,它是某种路由器,它首先进行一些检查:这个Controller, 初始化时,为相关用户创建一个nonce。此nonce是全局的。端点本身没有nonce,也没有注册为AJAX端点(因此,攻击者不能简单地绕过必须通过Controller, 因此,nonce检查只执行一次</运行访问回调函数,如can_user( \'administrator\' )
具有定制REST端点的主干
我已经创建了一个自定义端点,它返回select用户元数据。我正在尝试使用主干访问此端点。如果我的访问检查被模拟出来,它在Postman和我的主干/javascript脚本中都能正常工作。var app2 ={}; app2.Pilot = Backbone.Model.extend({ url: POST_SUBMITTER.root + \'pilotdata/v1/pilot/\' }); app2.pilot = new app
为什么Nunce可以在Firefox上运行,但在Chrome上不能运行?
我在本地化脚本文件时创建了nonce:wp_localize_script(\'cad-search\', \'cad_ajax\', array( \'ajaxurl\' => admin_url( \'admin-ajax.php\' ), \'nonce\'=> wp_create_nonce(\'cad_nonce\')) ); wp_enqueue_script(\'cad-search\'); 但是,
使用AJAX将随机数正确应用于表单
所以我仍在学习WordPress,似乎不知道如何将nonce正确地挂接到我创建的AJAX表单中。在这里,我挂接并本地化js文件,并定义update_profile_validation 暂时的[WORKS]:function enqueue_scripts() { if (!is_admin()) { wp_register_script(\'profile_edit_submit\', content_url() . \'/mu-plugins/fleis
无法通过REST API从无头前端获取草稿帖子
我在上安装了一个无头Wordpressv5.4.0. 前端无法获取中的任何帖子draft 状态,但当直接访问API url时,返回的数据没有问题。我假设这与cookie/auth有关。注意,我动态地抓取nonce 来自后端的值,此处显示完整字符串以供参数使用。以下是我的设置和回复截图:请求URL:http://wordpress.test/wp-json/wp/v2/pages/19060?wpnonce=23c01b3b12&_embed=true使用在前端调用isomorphic-unfetc
如何不用WP火箭缓存随机数?
我们有一个系统,在该系统中,我们将一个nonce从服务器上的PHP脚本传递到运行客户端的AJAX调用,然后再次返回以检查请求的有效性。这个nonce是缓存的,我们不知道如何排除它。我们将缓存时间设置为10小时,但后来将其减少到8小时。但假设nonce在上午12点续订,缓存在上午10点续订,即使缓存为8小时,我们仍然有6小时的nonce不工作。我们如何解决这个问题?
验证表单提交中的随机数
我不太会使用Nonce。我在表单中使用如下Noncewp_nonce_field(\'add_new_addres\',\'add_new_address\'); 我正在尝试验证如下所示的Nonce if(isset( $_REQUEST[\'action\'] ) && (\'newAddress\' === $_REQUEST[\'action\']) && (wp_verify_nonce($_REQUEST[\'add_new_address\']
将按钮链接更改为添加随机数
我正在创建一个注销按钮,但为了使其正常工作,链接需要具有正确的nonce(“site.com/wp login.php?action=Logout&wp\\u nonce=X”。我发现了另一个问题(How to log out without confirmation 'Do you really want to log out?"?) 添加nonce的方法,但仅适用于菜单链接: foreach($items as $item){ if( $item->title
WordPress正在以登录用户的身份创建随机数,但验证错误
验证用创建的nonce时遇到问题wp_create_nonce() 在html表单中名为nonce的隐藏输入中:<input type="hidden" name="nonce" value="<?php echo wp_create_nonce(\'action_name\'); ?>" /> 表单提交通过ajax完成,并通过验证check_ajax_referer(\'action_name\',\'nonc
WordPress JSON API随机数和Vue开发服务器
如官方所述docs, JSON API CSRF保护仅在Wordpress中起作用。请务必记住,此身份验证方法依赖于WordPress Cookie。因此,此方法仅适用于在WordPress内部使用REST API且当前用户已登录的情况。此外,当前用户必须具有执行正在执行的操作的适当能力。这意味着,每当我启动Vue开发服务器来构建我的Vue应用程序时,API都会拒绝我的请求,因为没有WP环境可以为我提供可以传递给API的nonce。有人找到解决这个问题的方法吗?
找到2个ID不唯一的元素(#_ajax_nonce)和(#_wpnonce)
我正在从头开始开发自定义主题,创建自定义帖子类型,并在编辑自定义帖子类型时收到此警告。我还设计了带有两个输入字段的自定义元框,并在其中使用nonce。删除这些警告有什么帮助吗?下面是函数中自定义元框的代码。php//Custom Metabox function register_book_meta_box(){ add_meta_box(\'book_meta_box_id\', \'Book Detail\',\'design_book_meta_box\',\'bo
将随机数内容安全策略标头用于内联样式元素的style-src返回错误
在内容安全策略头中使用nonce时,Google Chrome和Firefox都会返回错误。nonce值用于样式元素,即。<style id="some-id">// CSS </style>例如Refused to apply inline style because it violates the following Content Security Policy directive: "default-src \'self\' \'nonce-r
随机数和AJAX请求REST API和验证
十多年来我第一次使用WordPress。。。使用木材进行MVC。Vue位于前端,axios用于ajax帖子。都托管在同一个域上,因此我可以使用cookie进行身份验证。我正在使用axios,并将nonce设置为本地变量,我在Vue中提取该变量,并在通过axios发布时使用该变量设置标题。我注册了许多自定义API路由,例如:add_action( \'rest_api_init\', function () { register_rest_route( \'rw-user/v1\', \'/
从REST_API返回相同的wp_rest随机数
TLDR:如何强制返回一个新的nonce,以便AJAX在不刷新页面的情况下工作从以下位置开始Nonces and Ajax request to REST API and verification 我实现了Nonce功能,具有回调权限,路由的“意图”现在是安全的。我将Axios排队,将wp\\u rest nonce作为本地脚本设置。 // Register custom variables for the AJAX script. wp_localize_script( \'axi
CSP与Cloudflare工作人员的非合作伙伴
与本博客一样,我使用Cloudflare Workers在标题中注入CSP(内容安全策略):https://scotthelme.co.uk/csp-nonces-the-easy-way-with-cloudflare-workers/这是功能性的。接下来,我需要将nonce注入到所有脚本标记中。我使用这个脚本(在functions.php中):add_filter( \'script_loader_tag\', \'add_nonce_to_script\', 10, 3 ); functio
PERMISSION_CALLBACK无效
WP版本为5.5.3我在管理仪表板页面中使用的插件中设置了3个API路由。一条路线将被使用”;公开发布;。我有两个非常奇怪的问题:我的3条以管理为中心的路由未指定permission_callback. 我应该得到通知,但我没有,当文档和WP核心功能说它将抛出doing_it_wrong 错误</我的第四条公共路线\'permission_callback\' => \'__return_true\' 设置我收到rest_not_logged_in 错误代码class My_Plugin&#x
如何在WordPress后台发送AJAX请求
在前面wp_localize_script 当我查看源代码时,似乎可以看到nonce。wp_localize_script(\'scripts\', \'myAjax\', array( \'root_url\' => get_site_url(), \'ajaxurl\' => admin_url( \'admin-ajax.php\' ), \'nonce\' => wp_create_nonce(\'wp_rest\')&#x
单点登录WordPress+AJAX
那个让我晚上睡不着觉。问题是用户已正确登录,但在页面刷新后,应立即登录,而无需重新加载页面。需要一双新鲜的眼睛来观察它。正确设置cookie和nonce似乎有问题,但不确定如何调试。非常感谢您的建议。function my_update_cookie($logged_in_cookie) { $_COOKIE[LOGGED_IN_COOKIE] = $logged_in_cookie; } add_action(\'set_logged_in_cookie\', \