表单安全性: nonce

Question

我正在尝试创建一个在我的WordPress站点上提交表单的方法。在过去，为了确保表单提交的安全，我使用了WordPress非used，但是我喜欢使用jQuery对表单提交进行消毒和操作的想法。

我的问题是:如果我使用jQuery提交表单(即不会有POST数据，也不会重新加载页面)，难道这不意味着我根本不用使用nonces吗？这样做有什么安全风险/缺点吗？

Answer 1

jQuery是一个js库，不是传输协议，您的数据是通过GET或POST发送的，不管您是否使用jquery。

把它想成这样，有时是第一帧中的用户，有时是javascript：

首先，它们与消毒是不一样的，它们有不同的目的。

清理是指验证源以正确的格式表示的内容，检查格式错误的数据，并在发送恶意数据时捕获。

非user是加密令牌，它确保用户通过正确的权限从正确的位置发送请求。用户只有在正确的时间在正确的地点才能得到安全令牌(请记住，当您可以在内容中放置图像时，src属性没有指向图像，而是指向了facebook注销URL？)这就是我们要防止的)。

因此，请同时使用

.

而且，客户端的消毒是不够的。如果我关闭Javascript，或者有一个错误阻止了消毒的运行，该怎么办？

见此处：https://stackoverflow.com/questions/3483514/why-is-client-side-validation-not-enough

您也需要PHP级别的清理，这是不可避免的。永远不要相信客户机/浏览器发送给您的任何内容。它甚至可能不是浏览器或您的页面发送它。

建议的研究主题：

• http://codex.wordpress.org/Glossary#Nonce
• 获取和POST的区别