将所有wp_Options发送到javascript文件会有危险吗?

时间:2014-07-15 作者:Malibur

我注意到wordpress允许我通过wp\\u localize\\u脚本将wordpress选项发送到javascript:

wp_localize_script( $this->plugin_slug . \'-plugin-script\', \'wp_options\', wp_load_alloptions() );
这样,我的javascript就可以访问不同的设置,例如一周从哪一天开始,以及用户选择的日期格式。

是否存在任何风险,将所有选项作为变量发送给js,或者这样可以吗?我注意到,“logged\\u in\\u key”和“logged\\u in\\u salt”等选项也可以在前端使用。

我的直觉告诉我,这是一种糟糕的做法-安全方面?但我想听听对wordpress安全性了解更多的人的意见。

谢谢

马尔特

2 个回复
最合适的回答,由SO网友:kraftner 整理而成

绝对是个坏主意。只要发送您需要的内容,公开所有这些数据就会打开很多(甚至更多)攻击向量。

SO网友:TheDeadMedic

是的,相信你的直觉,这是不好的做法,当然是一种安全风险。

忘记盐钥匙吧。想想所有存储本地&;的插件;第三方凭据。他们(几乎)总是将其存储在选项表中。现在我(或其他任何人)可以访问它。

结束
标签: security   options   小码农  

相关推荐

theme options not saving

我创建了一个非常简单的主题设置页面,让我的用户可以添加一些社交媒体链接。然而,当我输入一些数据并保存字段时,文本消失,似乎无法保存。<?php // create custom theme settings menu add_action(\'admin_menu\', \'getextra_settings_create_menu\'); function getextra_settings_create_menu() {