✅ Notizie, temi, plugin WEB e WordPress. Qui condividiamo suggerimenti e le migliori soluzioni per siti web.

Come usare WordPress Nonce

34

Che cos’è WordPress Nonce?

Come menzionato nel Codex di WordPress, un nonce di WordPress è un "numero usato una volta" per aiutare a proteggere URL e moduli da determinati tipi di uso improprio, dannoso o altro.

Un nonce non è altro che un token di sicurezza che dovrebbe essere utilizzato durante lo sviluppo per evitare attacchi CSRF (falsificazione di richieste tra siti).

Durante lo sviluppo di temi o plug-in, nonce dovrebbe essere utilizzato in un modulo o in un URL. Come sviluppatore di WordPress, usare nonce è una buona pratica.

Come usare Nonce in un modulo

Come accennato, nonce è un token per prevenire attacchi CSRF. Quando si tratta di moduli, dovremmo aggiungere questo nonce nei nostri moduli. Per aggiungere un nonce in un form usiamo il campo nascosto.

<input type="hidden" name="FIELD_NAME" value="<?php echo wp_create_nonce('NONCE_NAME'); ?>"

Nel codice sopra, sostituisci FIELD_NAME e NONCE_NAME con quello che vuoi.

Verifica Nonce è valido?

Dopo aver aggiunto il nonce in un modulo, è necessario verificare se il superamento del nonce è valido o meno dopo l’invio del modulo. WordPress fornisce una funzione wp_verify_nonce per verificare la validità di nonce.

if (wp_verify_nonce( $_REQUEST['FIELD_NAME'], 'NONCE_NAME')) {
    //safe to proceed
} else {
    die('Security Check!');
}

Come usare Nonce nell’URL

Gli attacchi CSRF possono verificarsi anche sul sito Web tramite URL. Inoltre, per le pagine sensibili nonce gioca un ruolo importante. Diciamo che abbiamo una pagina delle impostazioni sul sito Web che contiene alcuni dati sensibili che dovrebbero essere protetti. Vogliamo impedirlo anche dagli attacchi CSRF. Quindi creo l’URL nonce per l’impostazione della pagina seguendo il modo.

<a href="<?php echo wp_nonce_url(get_bloginfo('url').'/settings', 'page-settings', 'setting-nonce'); ?>"></a>

Verifica Nonce è valido?

Ora, dobbiamo verificare se passare nonce è valido o meno. Possiamo farlo nel modo seguente. Anche qui stiamo usando la funzione wp_verify_nonce() per verificare la validità di nonce. Aggiungerò sotto il codice nella parte superiore della pagina delle impostazioni.

if (isset($_GET['setting-nonce']) && wp_verify_nonce($_GET['setting-nonce'], 'page-settings')) {
    //safe tp proceed
}

Spero che tu capisca come usare WordPress Nonce. Se hai domande o suggerimenti, lascia un commento qui sotto.

Fonte di registrazione: artisansweb.net

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More