web-dev-qa-db-ja.com

別の端末で生成されたnonceを検証できますか WP サイト?

私は別のワードプレスサイトに行くという行動を伴うフォームを持っています。サイトAのフォームでwp_nonceを使用してフィールドを生成したいのですが、サイトBのwp_verify_nonceを使用してナンスフィールドを検証することはできますか?

formsnonce
3
Luke Seall

理論的にはそうですが、実行するのは非常に悪いことです。そのためには、サイトBのサイトAでノンスを生成するために秘密を使用する必要があります。これは、サイトBが危険にさらされている場合でも同じです。しかし、それほど心配しないこと。

適切に取り組むには2つの方法があります

  1. 一度だけnonceを使わないでください。登録ユーザーを保護するためにnonceがあり、フォームの送信者が登録される可能性が低い場合、またはフォームがサーバーに有害な操作を行わない場合は、それらを使用する意味がありません

  2. サイトAは、サイトBのIframeとしてフォームを埋め込む必要があります。そうすることで、サイトBによってナンスが生成され、サイトAの秘密を知らなくても検証できます。

1
Mark Kaplun