Comme mentionn\u00e9 dans le Codex WordPress, un nonce WordPress est un \u00ab\u00a0num\u00e9ro utilis\u00e9 une fois\u00a0\u00bb pour aider \u00e0 prot\u00e9ger les URL et les formulaires contre certains types d’utilisation abusive, malveillante ou autre.<\/p>\n
Un nonce n’est rien d’autre qu’un jeton de s\u00e9curit\u00e9 qui doit \u00eatre utilis\u00e9 pendant le d\u00e9veloppement pour \u00e9viter les attaques CSRF (cross-site request forgery).<\/p>\n
Lors du d\u00e9veloppement d’un th\u00e8me ou d’un plugin, le nonce doit \u00eatre utilis\u00e9 dans un formulaire ou dans une URL. En tant que d\u00e9veloppeur WordPress, utiliser le nonce est une bonne pratique.<\/p>\n
Comme mentionn\u00e9, le nonce est un jeton pour emp\u00eacher les attaques CSRF. En traitant des formulaires, nous devrions ajouter ce nonce dans nos formulaires. Pour ajouter un nonce dans un formulaire, nous utilisons un champ cach\u00e9.<\/p>\n
<input type=\"hidden\" name=\"FIELD_NAME\" value=\"<?php echo wp_create_nonce('NONCE_NAME'); ?>\"<\/code><\/pre>\nDans le code ci-dessus, remplacez FIELD_NAME et NONCE_NAME par tout ce que vous voulez.<\/p>\n
V\u00e9rifier n’est pas valide\u00a0?<\/h3>\n
Une fois que vous avez ajout\u00e9 un nonce dans un formulaire, vous devez v\u00e9rifier si le nonce transmis est valide ou non apr\u00e8s la soumission du formulaire. WordPress fournit une fonction wp_verify_nonce pour v\u00e9rifier la validit\u00e9 du nonce.<\/p>\n
if (wp_verify_nonce( $_REQUEST['FIELD_NAME'], 'NONCE_NAME')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe to proceed\n} else {\n\u00a0\u00a0\u00a0\u00a0die('Security Check!');\n}<\/code><\/pre>\nComment utiliser Nonce dans l’URL<\/h2>\n
Les attaques CSRF peuvent \u00e9galement se produire sur le site Web via des URL. De plus, pour les pages sensibles, le nonce joue un r\u00f4le important. Disons que nous avons une page de param\u00e8tres sur le site Web qui contient des donn\u00e9es sensibles qui doivent \u00eatre prot\u00e9g\u00e9es. Nous voulons \u00e9galement l’emp\u00eacher des attaques CSRF. Je cr\u00e9e donc une URL nonce pour la mise en page de la mani\u00e8re suivante.<\/p>\n
<a href=\"<?php echo wp_nonce_url(get_bloginfo('url').'\/settings', 'page-settings', 'setting-nonce'); ?>\"><\/a><\/code><\/pre>\nV\u00e9rifier n’est pas valide\u00a0?<\/h3>\n
Maintenant, nous devons v\u00e9rifier si le nonce est valide ou non. Nous pouvons le faire de la mani\u00e8re suivante. Ici aussi, nous utilisons la fonction wp_verify_nonce() pour v\u00e9rifier la validit\u00e9 du nonce. J’ajouterai le code ci-dessous en haut de la page des param\u00e8tres.<\/p>\n
if (isset($_GET['setting-nonce']) && wp_verify_nonce($_GET['setting-nonce'], 'page-settings')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe tp proceed\n}<\/code><\/pre>\nJ’esp\u00e8re que vous comprenez comment utiliser WordPress Nonce. Si vous avez des questions ou des suggestions, veuillez laisser un commentaire ci-dessous.<\/p>\n