您当前的位置:首页 > TAG信息列表 > nonce
Nonce keeps failing
我有一个插件,可以为99%的用户工作,但有一个用户有问题。该插件打开一个thickbox模式窗口,并通过load-edit.php 钩链接显示在元框中,如下所示:add_action( \'add_meta_boxes_shop_order\', \'add_box\' ); function add_box() { add_meta_box( \'myparcel\', __( \'MyParcel\', \'wcmyparcel\' ), \'create_box_conten
如果您知道操作名称,wp_nonce_field是否易受攻击?
如果知道操作名称,wp\\u nonce\\u字段是否易受攻击?实际上,我在表单中添加了一个隐藏字段,名称=操作名称的名称,以便我的插件可以识别它。我想知道如果我将我的操作名称设置为“可见”,是否存在安全问题?编辑:我实际上是在自动化我的表单提交工作流;因此,如果需要显示操作名称,我可以对其进行加密。例如,我打电话MyFormPlugin::generateAction( \'submitQuestion\' ); 在我的表单中生成nonce和隐藏的“form\\u action”操作字段。class M
如何创建插件安装链接?
目前,我想我的代码生成的nonce是错误的。代码如下:$action = \'install-plugin\'; $plugin = \'akismet\'; wp_nonce_url( add_query_arg( array( \'action\' => $action, \'plugin\' => $plugin ), a
SAVE_POST挂接的安全性
有很多examples 使用save_post 钩子,包括添加和验证nonce,以及在继续之前检查用户是否具有适当的权限。这有必要吗?更新/发布帖子时,WP会验证正常的nonce,并检查权限本身,重定向到403或“确实要这样做吗?”`如果有什么东西未检出,请呼叫。因此,如果提出了错误的请求,钩子甚至不会被调用,那么为什么我必须自己重新检查这些东西呢?
为什么Wordpress的心跳登录不刷新随机数?
这里有一个有趣的实验:转到wordpress插件列表页面,注意激活、停用链接在请求中都有一个nonce部分。在第二个选项卡中,注销站点,然后返回插件列表页面。过了一会儿,页面意识到它没有登录,并弹出一个登录屏幕。登录,然后单击“激活”或“停用”按钮。请注意,它会给出nonce failure消息,“是否确实要执行此操作”?因为前一个会话的nonce不起作用。为什么Wordpress不知道刷新这些nonce?我原以为新的nonces会作为心跳ajax发送回来,但在登录屏幕上似乎没有ajax请求。更新:这似乎
我应该在联系人表单上使用wp_nonce_field吗?
我已经创建了一个自我提交的联系人表单模板,它工作得很好,但是当我浏览网页搜索教程(用于创建联系人表单)时,我注意到一些人在表单中使用了wp\\u nounce\\u field,但根据Konstantin Kovshenin 这是个坏主意。那么,我是否应该在我的联系人表单上使用wp\\u nonce\\u字段?谢谢
WP_CREATE_NONCE函数在插件中不起作用?
我正在写一个WordPress插件,它在其中一个函数中创建一个表单。看起来是这样的(非常简单):class MyPlugin { public function createForm() { $nonce = wp_create_nonce(\'my_form_nonce\'); echo \'<input type=\"hidden\" value=\" . $nonce . \">\'; } }
“注意:未定义索引:”添加新内容时出错?
我收到以下错误。。。Notice: Undefined index: album_tracks_metabox_nonce in /Applications/MAMP/htdocs/TheToasters/wp-content/themes/Toasters/discography-post-type.php on line 124...每当我尝试添加新页面、帖子或自定义帖子类型条目时。如果我正在编辑现有条目,则一切正常。该错误似乎与我创建的“Discography”自定义帖子类型上的metabox的no
一页上可以有多个现时词吗?
我有一个带有页面的网站,其中侧边栏中有一个表单,页面主体中有一个表单。提要栏在HTML中位于第一位。两种形式都有自己的nonce(使用wp_nonce_field) 使用不同的$action和$name参数。$referer字段已打开。当我提交第二份表格时,我通常会听到“你确定要这样做吗?”消息如果我删除第一个表单,事情就会正常运行。我添加了一些调试到wp_verify_nonce (var\\u dump语句和出口;)在一个空的$nonce和第一个表单(即我尚未提交的表单)的$操作之后,它将失败$\\u
如何在回显的字符串中插入wp_nonce字段
如果不阻止代码,我无法找到正确插入wp\\u nonce字段的方法。下面的代码来自一个类函数,该函数发回字符串,字符串将被回显。 $end_data .= \'<input type=\"text\" class=\"ss_title_form_ajax_\' . $this->id . \'\" limit=\"133\" value=\"\' . $this->native_title . \'\" size = \"60\" placeholder=\"\"/>
扩展WordPress(4.x)会话和随机数
我们有一个小型web应用程序,允许用户登录(通过WordPress)并保持登录状态,最多15分钟,以达到安全目的。因为大多数会话将持续更长的时间,所以我有一个小的ajax调用,它是在每次单击html文档本身时进行的。ajax调用本身激发到/admin-ajax.php 文件,它会命中一个函数(在functions.php中)。以下是该功能:function extend_my_session_yo(){ $user_id = get_current_user_id(); w
如何在PHP中检查AJAX现时值
我正在修改媒体模式,添加一个新的菜单项以向媒体库添加外部附件。从JS代码中,我调用了一个PHP函数,该函数涉及数据库并接受三个参数(url、post-id和nonce)。我的问题是,如何从PHP代码中检查nonce?另一个问题,在这种情况下发送nonce真的有必要吗?JS:wp.media.controller.Custom = wp.media.controller.State.extend({ initialize: function(){ this.
由于wp-admin的HTTPS导致AJAX请求中断
我的wp管理部分通过plugin. 我也有在前端使用https的特定页面(登录、计费等)我似乎对使用AJAX到HTTPS进行管理AJAX的HTTP页面有问题。php nonce失败。是否可以将HTTP nonce与HTTPS nonce一起使用?HTTPS到HTTPS工作正常。问题只是HTTP到HTTPS。这是预期的行为吗?我认为没有必要提供任何代码,因为这是相当标准的。感谢您的任何意见
NONCE在nopriv调用中不生效
我有一个使用Ajax调用的函数:function bs_reserve_gift() { if (!wp_verify_nonce($_POST[\'_wpnonce\'], \'reserve_gift\')) { $response[\'status\'] = \'error\'; $response[\'message\'] = __(\'Something went wrong, please try again later!
自定义Metabox随机数验证失败
我正在自定义帖子类型上添加元盒,而我的nonce验证失败。我真的不知道该去哪里寻找出问题的原因。有人能给我指出正确的方向吗?这是我的代码:function myplugin_add_metabox() { add_meta_box( \'myplugin_box\', // $id \'Some Title\', // $title \'myplugin_box\', // $callback
随机数验证是如何工作的?
我可以看到wp\\u nonce\\u字段在隐藏字段中生成一个值。<input type=\"hidden\" id=\"message-send\" name=\"message-send\" value=\"cabfd9e42d\" /> 但据我所知,wp\\u verify\\u nonce没有使用该值,但我可能错了。看起来它正在使用会话令牌进行验证。$expected = substr( wp_hash( $i . \'|\' . $action . \'|\' . $uid
第二次提交尝试后随机数失败
我正在重构插件,该插件将WordPress数据库表重置为默认值,并遇到了一个问题。表单提交本身工作正常。但是,在第一次提交之后,如果不刷新页面并再次提交表单,则nonce似乎会失败。也许有人完全理解nonces是如何工作的,因为我不知道是什么导致了这种情况。我有必要检查一下wp_nonce_field 和check_admin_referer 在管理方面。由于我无法发布代码的特定部分,下面是指向重构(WIP)插件的链接:https://github.com/chrisberthe/wordpress-da
我如何从前端一次删除多个帖子?
我看了一下编辑中的代码。php和am现在使用以下代码生成链接:wp_nonce_url(\"/wp-admin/edit.php?doaction=trash&post_type=post&ids=postIds\", \"bulk-posts\") URL中的字符串“postIds”通过javascript被逗号分隔的帖子ID替换。到目前为止,所有这些都是将我重定向到后端的编辑屏幕。我需要如何生成此链接以一次丢弃多个帖子?
Nonce for Trashing Item
我有一个自定义的管理页面。在此基础上,我根据Posteta数据创建了自定义帖子类型的筛选列表。我必须创建一个链接来删除那篇文章。我正在尝试找出如何创建带有nonce的链接。sprintf(\'<a href=\"post.php?post=%s&action=%s&_wpnonce=%s\" class=\"link-course-delete\">Trash</a>\',$item[\'ID\'],\'trash\',wp_create_nonce(???))
increase nonce lifespan
我想将nonce寿命从默认的12-24小时增加到36-48小时。我在抄本中找到了以下代码,但不知道放在哪里。add_filter( \'nonce_life\', function () { return 172800; } ); 我可以把这一行放在函数中吗。php是否要更改站点范围内的nonce寿命?有没有一种简单的方法可以检查nonce在站点范围内的默认寿命?将nonce生存期延长24小时是否存在任何安全问题?