问题标签 [nonce]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 在 PHP 中使用 nonce 作为安全解决方案
我目前在使用 nonce 作为 PHP 中的安全解决方案时遇到问题
我读了这篇关于 如何检查请求是否来自同一服务器或不同服务器的帖子?
关于使用隐藏的输入表单字段来散列随机值,同时将该随机值存储到与用户对应的会话中。提交表单后,检查隐藏字段的值是否与会话中存储的值相同。(我认为这有问题)
例子
拥有 Mozilla Firebug 并检查元素的用户仍会找到我的隐藏字段,然后将其复制。然后创建他/她自己的表单,然后将其发布到我的网址,登录仍然会被绕过。
显示示例的图像
有没有更安全的方法来做到这一点?任何帮助将不胜感激,谢谢!
wordpress - 在 Custom Meta Box 插件中使用 Nonce-field,无法保存数据
我一直在努力创建一个插件,允许我的客户更新他们的联系信息。我已经设法让插件在首页的管理区域中显示字段(只想在那里显示信息)。当我填写信息和新闻更新帖子时,字段变为空白,没有任何内容被保存。
我相信我已经将原因隔离到了 nonce 字段,并通过if-statement在我测试的地方放置了一些字段来进行测试isset & wp_verify_nonce。字段消失了,因此 nonce 无法正常工作。我究竟做错了什么?
这是我正在开发的第一个 Wordpress 站点,因此使用多个字段的解决方案可能不是最聪明的,但似乎最容易让我理解。
作为一个附带问题,我是否正确地假设我可以回显一个字段的内容(例如,'h3_nimi' 使用echo get_post_meta( get_the_ID(), 'h3_nimi', true );?
希望可以使用 pastebin 来避免使帖子混乱,因为由于多个字段,代码相当长?先感谢您。
php - 有没有办法测试我的随机数验证是否应该失败?
我在 wordpress 插件中使用随机数验证。当我从管理菜单提交表单时,它会正确处理,所以我相信 nonce 验证正在工作。我不确定验证是否会在它应该失败的时候失败,而且我不知道最好的测试方法是什么。
我尝试将 php 文件的 url 直接放入,但它所做的只是将我带到 wordpress 未找到页面。
有什么推荐的方法来测试这个吗?
这是我的代码。同样,测试在应该通过的时候通过,我只是不知道它是否在应该通过的时候失败。
encryption - 如何在非对称加密(libsodium)中使用随机数?
我正在编写一个应用程序,用户可以在其中通过端到端加密在设备之间进行通信。为此,我使用 libsodium 加密库。非对称加密函数 crypto_box(...) 需要一个随机数作为参数之一。
我对如何处理随机数有点困惑。发给一个人的每条消息都需要使用不同的随机数加密吗?这似乎不正确,因为我必须将使用过的随机数存储在具有公共访问权限的服务器上,攻击者可以再次使用其中一个使用过的随机数。
从 A 发送到 B 的所有消息都具有不同的 nonce 就足够了吗?
有人可以向我解释一下吗。
python - Python bitstamp api无效nonce错误
一个 python 脚本正在运行,但现在没有。
我收到以下错误:
有没有人经历过这个?对图书馆不太熟悉,因此不确定是什么原因造成的。
ruby-on-rails - 添加随机数红宝石
Ruby nonce 抛出错误
错误:
在我的控制台中工作它给出了正确的值
为什么它以编程方式抛出错误?
编辑
有什么方法可以添加随机数。条件是它应该是一个整数,必须在每个后续请求中递增
ios - 随机唯一字符串生成用作 nonce (oauth)
我正在尝试使用 UUID 生成随机数以用于 Twitter 反向身份验证。但显然 UUID 不是一个好的选择。那么,如何在每次剥离所有非单词字符时生成一个唯一的随机字符串,并注意它在使用后从内存中释放。以下代码崩溃。
编辑: 我在 xcode6 beta2 上,我无法调试,xocde 崩溃,任何机会。好吧,CFRelease 部分对我来说是崩溃的。一旦我删除,它似乎工作正常,但我不知道这是否会造成内存泄漏。
至于为什么 UUID 可能不是用于 nonce 的好选择,似乎是因为 UUID 不是由真正的随机位组成的,请在此处参考此讨论:https ://github.com/aws/aws-sdk-ios/issues /30
security - 登录时应该使用 Nonce 吗?
Wikipedia提供了以下基于 nonce 的身份验证示例:
客户端从服务器请求随机数。
服务器以随机数响应(即,以下称为“服务器随机数”)。
客户端使用服务器随机数、它自己的客户端随机数和用户输入的密码来生成哈希。
客户端将用户输入的用户名、客户端随机数和哈希发送到服务器。
服务器从其数据库中检索服务器随机数和用户密码,大概是通过用户名。
服务器结合服务器随机数、客户端随机数和密码来生成哈希。
服务器将刚刚生成的哈希与客户端发送的哈希进行比较。
如果哈希匹配,则客户端通过身份验证。如果没有,客户将被拒绝。
这是否意味着服务器以纯文本形式存储用户密码?严重违反了建议保存密码的加盐哈希而不是实际密码本身的安全原则?
php - 从 WP_List_Table 验证 nonce
我正在使用 WP_List_Table 在 WordPress 插件中设置批量操作。我想允许的唯一批量操作是删除。我有一个链接可以删除通过生成的随机数的项目
当我单击链接时,它工作得很好。我正在处理代码中验证它
但是当我使用批量操作表单尝试删除时,我得到你确定要这样做吗?信息。
我查看了 wp-admin/post.php 以了解他们如何处理垃圾项目,它似乎完全一样,除了它有效。
php - WordPress nonce fails in Firefox
It not consistent, but with some users it will fail from time to time, and with users on a Remote Desktop as well.
I think it is done correctly, but not totally sure. PLease advise me what to do, and if there's something wrong.
It's simple plugin that compares input to a database table and returns the corresponding result without refreshing the page.
From the .php
And from input_submit.js: