1

我的 WordPress 插件,Ajax load More目前使用一个nonce变量调用前端的 admin-ajax.php,这有助于保护 URL 免受某些类型的滥用、恶意或其他方式的影响。

我遇到的问题是各种缓存插件,例如 WP Super Cache、WP Fastest Cache 和 W3 Total Cache 正在缓存 nonce 变量,这会在插件尝试验证 nonce 时导致错误。

我的问题是,我需要随机数验证吗?

该插件仅使用 WP_query() 检索发布数据,而不向数据库发送任何内容,因此在我看来它可能有点矫枉过正。

4

1 回答 1

1

“Nonce 验证”用于防止跨站点请求伪造 (CSRF) 攻击。我在引号中使用它,因为 wordpress 实际上并没有生成随机数(number-used-once),而是重复使用它们。

简而言之,要确保请求来自您的域而不是攻击者。随机数“证明”请求者拥有浏览器将阻止其他人拥有的秘密信息。

你需要保护吗?如果请求做了什么,那么是的。这意味着如果您正在创建或修改任何内容,那么您需要某种形式的保护。浏览器将为您保护读取请求,因此您无需担心它们。

欲了解更多信息(我写的一篇博文)。

于 2015-04-23T14:37:13.590 回答