Как работают одноразовые записи Wordpress?
Я пытаюсь понять, как работают одноразовые записи Wordpress с точки зрения безопасности. nonce предназначен для номера, используемого один раз, но, согласно wordpress, он может быть действителен до 24 часов, что не имеет смысла, его можно было использовать 9999 раз в течение этого периода (от одного и того же клиента).
Я думал, что nonce wordpress - это действительно число, используемое один раз, и что nonce действителен только для одноразового использования, но это не так. Я думаю, для большей безопасности лучше использовать одноразовый номер, например у вас есть система комментирования, и кто-то дважды нажимает на "ответить". Вместо того, чтобы вставлять комментарий два раза, он вставляется один раз из-за единовременного действительного одноразового номера (того же самого), указанного в двух запросах.
Я что-то не так понимаю? Какова цель этих одноразовых записей Wordpress?
Ответы 2
Вы ошибаетесь. Хотя это правда, что одноразовый номер действителен до 24 часов, после чего он истечет и будет сгенерирован новый, одноразовый номер можно использовать только один раз.
Следовательно, имя nonce -
Вот веб-сайт, который поможет вам больше понять все, что стоит за nonce - https://codex.wordpress.org/WordPress_Nonces
Вы правы, WordPress nonce - это не настоящий nonce. Его можно использовать несколько раз в течение периода времени, пока действует одноразовый номер (12-24 часа) проверить функцию отметки nonce. Основная причина, по которой вам нужно использовать nonce, - это предотвратить CSRF (подделку межсайтовых запросов) и вредоносные скрипты.
Но во всех других случаях безопасности не следует полагаться на WP nonce. Используйте current_user_can(), чтобы проверить, что текущий пользователь может и не может делать на вашем веб-сайте. Проверить документы