SAVE_POST挂接的安全性

时间:2014-07-15 作者:user37315

有很多examples 使用save_post 钩子,包括添加和验证nonce,以及在继续之前检查用户是否具有适当的权限。

这有必要吗?

更新/发布帖子时,WP会验证正常的nonce,并检查权限本身,重定向到403或“确实要这样做吗?”`如果有什么东西未检出,请呼叫。因此,如果提出了错误的请求,钩子甚至不会被调用,那么为什么我必须自己重新检查这些东西呢?

1 个回复
最合适的回答,由SO网友:fuxia 整理而成

这个save_post 每次有人调用函数时都会调用hookwp_insert_post(). 不幸的是,插件也可以做到这一点,WordPress本身也可以在一些地方…

有人使用post per email或XML RPC创建自动草稿,使用仪表板上的快速草稿功能添加导航菜单项,创建修订版,如果没有自己的验证,您真的不想处理所有这些操作。

除此之外,nonces应该保证监听他人网络流量的人不能重复某个动作。In theory, nonces阻止了这一点。默认的WordPress nonce在这方面不是很安全,因为它们可以重用。但是你的用户可能安装了一个插件,可以创建真正的nonce。你真的想绕过他们额外的安全措施吗?可能不会。

结束
标签: hooks   security   nonce   小码农  

相关推荐

我需要使用NONCE吗?

我正在用ajax、jquery和php创建一个访问/页面视图计数器,我已经阅读了一些文章,建议通过ajax使用nonces进行数据操作,但是我不确定是否需要将nonces用于我的简单计数器?我的代码看起来有点像这样;jqueryjQuery.ajax({ type: \'POST\', url: ajaxurl, data: {action: \'countHits\', status: \'true\'},