Conforme mencionado no WordPress Codex, um nonce do WordPress \u00e9 um "n\u00famero usado uma vez" para ajudar a proteger URLs e formul\u00e1rios de certos tipos de uso indevido, malicioso ou outro.<\/p>\n
Um nonce nada mais \u00e9 do que um token de seguran\u00e7a que deve ser usado durante o desenvolvimento para evitar ataques CSRF (falsifica\u00e7\u00e3o de solicita\u00e7\u00e3o entre sites).<\/p>\n
Durante o desenvolvimento de um tema ou plugin, o nonce deve ser usado em um formul\u00e1rio ou URL. Como um desenvolvedor WordPress, usar o nonce \u00e9 uma boa pr\u00e1tica.<\/p>\n
Conforme mencionado, o nonce \u00e9 um token para evitar ataques CSRF. Ao lidar com formul\u00e1rios, devemos adicionar este nonce em nossos formul\u00e1rios. Para adicionar um nonce em um formul\u00e1rio, usamos o campo oculto.<\/p>\n
<input type=\"hidden\" name=\"FIELD_NAME\" value=\"<?php echo wp_create_nonce('NONCE_NAME'); ?>\"<\/code><\/pre>\nNo c\u00f3digo acima, substitua FIELD_NAME & NONCE_NAME pelo que voc\u00ea quiser.<\/p>\n
Verifique se o Nonce \u00e9 v\u00e1lido?<\/h3>\n
Depois de adicionar o nonce em um formul\u00e1rio, voc\u00ea precisa verificar se passar o nonce \u00e9 v\u00e1lido ou n\u00e3o ap\u00f3s o envio do formul\u00e1rio. O WordPress fornece uma fun\u00e7\u00e3o wp_verify_nonce para verificar a validade do nonce.<\/p>\n
if (wp_verify_nonce( $_REQUEST['FIELD_NAME'], 'NONCE_NAME')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe to proceed\n} else {\n\u00a0\u00a0\u00a0\u00a0die('Security Check!');\n}<\/code><\/pre>\nComo usar o Nonce em URL<\/h2>\n
Os ataques CSRF tamb\u00e9m podem ocorrer no site por meio de URLs. Al\u00e9m disso, para p\u00e1ginas sens\u00edveis, o nonce desempenha um papel importante. Digamos que temos uma p\u00e1gina de configura\u00e7\u00f5es no site que cont\u00e9m alguns dados confidenciais que devem ser protegidos. Queremos impedi-lo de ataques CSRF tamb\u00e9m. Ent\u00e3o eu crio um URL nonce para a p\u00e1gina de configura\u00e7\u00e3o da seguinte maneira.<\/p>\n
<a href=\"<?php echo wp_nonce_url(get_bloginfo('url').'\/settings', 'page-settings', 'setting-nonce'); ?>\"><\/a><\/code><\/pre>\nVerifique se o Nonce \u00e9 v\u00e1lido?<\/h3>\n
Agora, precisamos verificar se passar o nonce \u00e9 v\u00e1lido ou n\u00e3o. Podemos fazer isso da seguinte maneira. Aqui tamb\u00e9m estamos usando a fun\u00e7\u00e3o wp_verify_nonce() para verificar a validade do nonce. Vou adicionar o c\u00f3digo abaixo no topo da p\u00e1gina de configura\u00e7\u00f5es.<\/p>\n
if (isset($_GET['setting-nonce']) && wp_verify_nonce($_GET['setting-nonce'], 'page-settings')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe tp proceed\n}<\/code><\/pre>\nEspero que voc\u00ea entenda como usar o WordPress Nonce. Se voc\u00ea tiver alguma d\u00favida ou sugest\u00e3o, deixe um coment\u00e1rio abaixo.<\/p>\n