Come menzionato nel Codex di WordPress, un nonce di WordPress \u00e8 un "numero usato una volta" per aiutare a proteggere URL e moduli da determinati tipi di uso improprio, dannoso o altro.<\/p>\n
Un nonce non \u00e8 altro che un token di sicurezza che dovrebbe essere utilizzato durante lo sviluppo per evitare attacchi CSRF (falsificazione di richieste tra siti).<\/p>\n
Durante lo sviluppo di temi o plug-in, nonce dovrebbe essere utilizzato in un modulo o in un URL. Come sviluppatore di WordPress, usare nonce \u00e8 una buona pratica.<\/p>\n
Come accennato, nonce \u00e8 un token per prevenire attacchi CSRF. Quando si tratta di moduli, dovremmo aggiungere questo nonce nei nostri moduli. Per aggiungere un nonce in un form usiamo il campo nascosto.<\/p>\n
<input type=\"hidden\" name=\"FIELD_NAME\" value=\"<?php echo wp_create_nonce('NONCE_NAME'); ?>\"<\/code><\/pre>\nNel codice sopra, sostituisci FIELD_NAME e NONCE_NAME con quello che vuoi.<\/p>\n
Verifica Nonce \u00e8 valido?<\/h3>\n
Dopo aver aggiunto il nonce in un modulo, \u00e8 necessario verificare se il superamento del nonce \u00e8 valido o meno dopo l’invio del modulo. WordPress fornisce una funzione wp_verify_nonce per verificare la validit\u00e0 di nonce.<\/p>\n
if (wp_verify_nonce( $_REQUEST['FIELD_NAME'], 'NONCE_NAME')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe to proceed\n} else {\n\u00a0\u00a0\u00a0\u00a0die('Security Check!');\n}<\/code><\/pre>\nCome usare Nonce nell’URL<\/h2>\n
Gli attacchi CSRF possono verificarsi anche sul sito Web tramite URL. Inoltre, per le pagine sensibili nonce gioca un ruolo importante. Diciamo che abbiamo una pagina delle impostazioni sul sito Web che contiene alcuni dati sensibili che dovrebbero essere protetti. Vogliamo impedirlo anche dagli attacchi CSRF. Quindi creo l’URL nonce per l’impostazione della pagina seguendo il modo.<\/p>\n
<a href=\"<?php echo wp_nonce_url(get_bloginfo('url').'\/settings', 'page-settings', 'setting-nonce'); ?>\"><\/a><\/code><\/pre>\nVerifica Nonce \u00e8 valido?<\/h3>\n
Ora, dobbiamo verificare se passare nonce \u00e8 valido o meno. Possiamo farlo nel modo seguente. Anche qui stiamo usando la funzione wp_verify_nonce() per verificare la validit\u00e0 di nonce. Aggiunger\u00f2 sotto il codice nella parte superiore della pagina delle impostazioni.<\/p>\n
if (isset($_GET['setting-nonce']) && wp_verify_nonce($_GET['setting-nonce'], 'page-settings')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe tp proceed\n}<\/code><\/pre>\nSpero che tu capisca come usare WordPress Nonce. Se hai domande o suggerimenti, lascia un commento qui sotto.<\/p>\n