wordpress中使用Nonce防止網站受到CSRF攻擊

使用Nonce(number used once)是防止WordPress主題或者插件受到CSRF (cross-site request forgery) 攻擊最好的方法，WordPress Nonce 通過提供一個隨機數，來實現在數據請求（比如，在后臺保存插件選項，AJAS 請求，執行其他操作等等）的時候防止未授權的請求。愛掏網 - it200.com

1、首先使用一個唯一的標示符生成 nonce2、將生成的 nonce 和鏈接或者表單中的其他數據一起傳遞給腳本3、在做其他事情之前驗證 nonce

首先可以使用 wp_create_nonce()函數創建 nonce

$nonce= wp_create_nonce(‘xxzhuti’);然后將生成 $nonce 的值作為參數傳遞給請求中，如：

1. >

最后在執行其他動作的時候，使用 wp_verify_nonce() 函數驗證下 nonce。愛掏網 - it200.com

1. $nonce = $_REQUEST[_wpnonce];
2. if (!wp_verify_nonce($nonce, xxzhuti) ) {
3. wp_die(非法操作);
4. }

這種方式是用的最多的一種，當然wordpress還幫我們封裝了一下nonce的函數，比如wp_nonce_field()，可以直接生成隱藏表單。愛掏網 - it200.com