WordPress在前端登录时使用nonce的最佳实践?

2021-08-16 13:00:03 other 阅读:567
您好, 我在wordpress主题中构建了一些功能,允许用户通过前端注册和登录,使用ajax功能验证和注册/登录用户。 我的问题是关于暂时性。因为我使用缓存插件,在nonce过期和页面缓存刷新之间的一段时间内,页面显示一个过期的nonce,因此ajax登录不起作用,它将发送旧的缓存nonce。 我的问题是,对于这种情况,最佳做法是什么? 在我看来,我有几个选项: 1-完全删除用于登录/注册的nonce,只需打开它,任何人都可以尝试通过ajax直接登录/注册。这是安全问题还是标准问题? 2-通过另一个ajax请求动态加载nonce以绕过缓存功能。 3-构建我自己的nonce系统,在更新nonce时也刷新缓存。(似乎有些过分了) 我觉得这应该是相当标准的,我不应该重新发明轮子,但我似乎找不到答案。我在网上看到一些人说应该更频繁地刷新缓存,但即使这样,根据我的计算,仍然会有一段时间,当nonce过期,缓存刷新时,nonce将是无效的。 谢谢你的帮助! 当您想保护用户正在发起的操作不被拦截和欺骗以执行其他操作时,使用nonce。因此,每个nonce都应该在其中生成特定的内容。例如,一个用户想要删除一篇文章。nonce将有delete的操作和post ID,因此如果nonce被破坏,它只能用于该post上的操作。 当您登录时,您试图保护哪些操作和特定数据? 实际登录已经受到保护,用户和密码需要匹配。nonce的值是在服务器上生成的,这是服务器需要找到的值以允许该操作。因此,在客户机上做任何事情都无法达到目的,因为客户机可能是任何人。 除此之外,登录不属于主题。把你的代码移到一个插件上,你可以简单地使用现有的WP逻辑。不管缓存是什么,你的代码都应该工作,这一点主题不必担心。 嗨,乔伊, 目的是帮助某人阻止机器人暴力地强制使用ajax url和猜测用户名/密码组合。不过,我确实弄明白了。仔细阅读关于nonces如何工作的细节。显然,它们的工作时间是\"2个滴答\",也就是说它们在24小时内过期,每个\"滴答\"是12小时。有趣的是,即使nonce每12小时被替换为一个新的nonce,它们仍然在整个24小时内有效。这意味着在任何时候,两个不同的nonce都是有效的,而不仅仅是一个。 所以,长话短说,这意味着只要我将站点缓存设置为小于12小时,nonce就会一直工作,所以问题就解决了

admin_action_{$_REQUEST[‘action’]}

do_action( "admin_action_{$_REQUEST[‘action’]}" )动作钩子::在发送“Action”请求变量时激发。Action Hook: Fires when an ‘action’ request variable is sent.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$_REQUEST['action']引用从GET或POST请求派生的操作。源码(Source)更新版本源码位置使用被使用2.6.0 wp-admin/admin.php:...

日期:2020-09-02 17:44:16 浏览:1167

admin_footer-{$GLOBALS[‘hook_suffix’]}

do_action( "admin_footer-{$GLOBALS[‘hook_suffix’]}", string $hook_suffix )操作挂钩:在默认页脚脚本之后打印脚本或数据。Action Hook: Print scripts or data after the default footer scripts.目录锚点:#说明#参数#源码说明(Description)钩子名的动态部分,$GLOBALS['hook_suffix']引用当前页的全局钩子后缀。参数(Parameters)参数类...

日期:2020-09-02 17:44:20 浏览:1068

customize_save_{$this->id_data[‘base’]}

do_action( "customize_save_{$this->id_data[‘base’]}", WP_Customize_Setting $this )动作钩子::在调用WP_Customize_Setting::save()方法时激发。Action Hook: Fires when the WP_Customize_Setting::save() method is called.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_data...

日期:2020-08-15 15:47:24 浏览:804

customize_value_{$this->id_data[‘base’]}

apply_filters( "customize_value_{$this->id_data[‘base’]}", mixed $default )过滤器::过滤未作为主题模式或选项处理的自定义设置值。Filter Hook: Filter a Customize setting value not handled as a theme_mod or option.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_date['base'],指的是设置...

日期:2020-08-15 15:47:24 浏览:897

get_comment_author_url

过滤钩子:过滤评论作者的URL。Filter Hook: Filters the comment author’s URL.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/comment-template.php:32610...

日期:2020-08-10 23:06:14 浏览:929

network_admin_edit_{$_GET[‘action’]}

do_action( "network_admin_edit_{$_GET[‘action’]}" )操作挂钩:启动请求的处理程序操作。Action Hook: Fires the requested handler action.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$u GET['action']引用请求的操作的名称。源码(Source)更新版本源码位置使用被使用3.1.0 wp-admin/network/edit.php:3600...

日期:2020-08-02 09:56:09 浏览:875

network_sites_updated_message_{$_GET[‘updated’]}

apply_filters( "network_sites_updated_message_{$_GET[‘updated’]}", string $msg )筛选器挂钩:在网络管理中筛选特定的非默认站点更新消息。Filter Hook: Filters a specific, non-default site-updated message in the Network admin.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分$_GET['updated']引用了非默认的...

日期:2020-08-02 09:56:03 浏览:862

pre_wp_is_site_initialized

过滤器::过滤在访问数据库之前是否初始化站点的检查。Filter Hook: Filters the check for whether a site is initialized before the database is accessed.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/ms-site.php:93910...

日期:2020-07-29 10:15:38 浏览:831

WordPress 的SEO 教学:如何在网站中加入关键字(Meta Keywords)与Meta 描述(Meta Description)?

你想在WordPress 中添加关键字和meta 描述吗?关键字和meta 描述使你能够提高网站的SEO。在本文中,我们将向你展示如何在WordPress 中正确添加关键字和meta 描述。为什么要在WordPress 中添加关键字和Meta 描述?关键字和说明让搜寻引擎更了解您的帖子和页面的内容。关键词是人们寻找您发布的内容时,可能会搜索的重要词语或片语。而Meta Description则是对你的页面和文章的简要描述。如果你想要了解更多关于中继标签的资讯,可以参考Google的说明。Meta 关键字和描...

日期:2020-10-03 21:18:25 浏览:1713

谷歌的SEO是什么

SEO (Search Engine Optimization)中文是搜寻引擎最佳化,意思近于「关键字自然排序」、「网站排名优化」。简言之,SEO是以搜索引擎(如Google、Bing)为曝光媒体的行销手法。例如搜寻「wordpress教学」,会看到本站的「WordPress教学:12个课程…」排行Google第一:关键字:wordpress教学、wordpress课程…若搜寻「网站架设」,则会看到另一个网页排名第1:关键字:网站架设、架站…以上两个网页,每月从搜寻引擎导入自然流量,达2万4千:每月「有机搜...

日期:2020-10-30 17:23:57 浏览:1306