Wie im WordPress-Codex erw\u00e4hnt, ist eine WordPress-Nonce eine \u201eeinmal verwendete Zahl“, um URLs und Formulare vor bestimmten Arten von Missbrauch, b\u00f6swillig oder anderweitig, zu sch\u00fctzen.<\/p>\n
Ein Nonce ist nichts anderes als ein Sicherheitstoken, das w\u00e4hrend der Entwicklung verwendet werden sollte, um CSRF-Angriffe (Cross-Site Request Forgery) zu vermeiden.<\/p>\n
W\u00e4hrend der Entwicklung von Themes oder Plugins sollte Nonce in einem Formular oder in einer URL verwendet werden. Als WordPress-Entwickler ist die Verwendung von Nonce eine gute Praxis.<\/p>\n
Wie bereits erw\u00e4hnt, ist Nonce ein Token, um CSRF-Angriffe zu verhindern. Beim Umgang mit Formularen sollten wir diese Nonce in unsere Formulare einf\u00fcgen. Um eine Nonce in einem Formular hinzuzuf\u00fcgen, verwenden wir ein verstecktes Feld.<\/p>\n
<input type=\"hidden\" name=\"FIELD_NAME\" value=\"<?php echo wp_create_nonce('NONCE_NAME'); ?>\"<\/code><\/pre>\nErsetzen Sie im obigen Code FIELD_NAME und NONCE_NAME durch alles, was Sie wollen.<\/p>\n
Check Ist Nonce g\u00fcltig?<\/h3>\n
Nachdem Sie einem Formular eine Nonce hinzugef\u00fcgt haben, m\u00fcssen Sie nach dem Absenden des Formulars \u00fcberpr\u00fcfen, ob das Bestehen der Nonce g\u00fcltig ist oder nicht. WordPress bietet eine Funktion wp_verify_nonce, um die Nonce-G\u00fcltigkeit zu \u00fcberpr\u00fcfen.<\/p>\n
if (wp_verify_nonce( $_REQUEST['FIELD_NAME'], 'NONCE_NAME')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe to proceed\n} else {\n\u00a0\u00a0\u00a0\u00a0die('Security Check!');\n}<\/code><\/pre>\nSo verwenden Sie Nonce in URL<\/h2>\n
CSRF-Angriffe k\u00f6nnen auch \u00fcber URLs auf Websites erfolgen. Aber auch f\u00fcr sensible Seiten spielt Nonce eine wichtige Rolle. Nehmen wir an, wir haben eine Einstellungsseite auf der Website, die einige sensible Daten enth\u00e4lt, die gesch\u00fctzt werden sollten. Wir wollen es auch vor CSRF-Angriffen sch\u00fctzen. Also erstelle ich eine Nonce-URL f\u00fcr die Einstellungsseite auf folgende Weise.<\/p>\n
<a href=\"<?php echo wp_nonce_url(get_bloginfo('url').'\/settings', 'page-settings', 'setting-nonce'); ?>\"><\/a><\/code><\/pre>\nCheck Ist Nonce g\u00fcltig?<\/h3>\n
Jetzt m\u00fcssen wir \u00fcberpr\u00fcfen, ob die \u00dcbergabe von Nonce g\u00fcltig ist oder nicht. Wir k\u00f6nnen dies auf folgende Weise tun. Auch hier verwenden wir die Funktion wp_verify_nonce(), um die Nonce-G\u00fcltigkeit zu \u00fcberpr\u00fcfen. Ich werde den folgenden Code oben auf der Einstellungsseite hinzuf\u00fcgen.<\/p>\n
if (isset($_GET['setting-nonce']) && wp_verify_nonce($_GET['setting-nonce'], 'page-settings')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe tp proceed\n}<\/code><\/pre>\nIch hoffe, Sie verstehen, wie man WordPress Nonce verwendet. Wenn Sie Fragen oder Anregungen haben, hinterlassen Sie bitte unten einen Kommentar.<\/p>\n