有几个nonce有意义吗?它是否增加了安全性?
E、 g向元框添加nonce,同时<form> (基本上是整个添加/编辑帖子屏幕)默认情况下已经有一个
文档、教程和旧答案都坚持在制作自定义元框时添加nonce,就像我说的,WordPress已经在<form> 默认情况下,只有我(admin)有权访问admin区域,其他所有人都会被重定向,我不希望向每个元框代码块添加nonce-添加复杂的元框是a huge amount of code 即使没有它How is it then?
可选奖金问题:现场消毒、验证如何?如果没有其他人可以访问。。
最合适的回答,由SO网友:Mark Kaplun 整理而成
不,这没有任何意义。
所有与metaboxes相关的文档可能都是从codex中使用nonce的错误代码中获得灵感的。
metabox中nonces无意中解决的问题是,在使用帖子列表页面的快速编辑功能时(或者考虑任何类型的外部API),避免了数据损坏,因为此时没有metabox,表单中也没有数据。这可能会很棘手,尤其是在元框中有复选框的情况下,但更好的解决方法是通过显式隐藏输入来指示显示了元框(基本上这就是nonce所做的,但它令人困惑,因为它与安全性无关)。
至于卫生和验证,您应该始终这样做,因为用户可能会向您的代码发送错误的值,甚至可能是合法的输入。这有助于提高安全性,但这不是您应该这样做的唯一原因-https://xkcd.com/327/
