nonceの扱い

nakata 24views 更新:2016年8月3日

nonceはajax通信で狙われやすいCSRF攻撃を防ぐためにクライアントとサーバーで暗号を使って認証をするための鍵です。一度きりのことも多いので、ワンタイムトークンなどと呼ばれたりします。wordpressでajax通信する時はadmin-ajax.phpを経由しますが、必ずしもnonceを生成しなくてもajax通信が通るので、セキュリティのために手動でnonceの設定をする必要があります。以下nonceの生成関数と認証関数です。

nonce作成関数:
wp_create_nonce()
ajax用のnonce確認関数:
check_ajax_referer()

ログイン / 新規登録してコメントする

このソースコードをストックして後で利用したり、作業に利用したソースコードをまとめることができます。

こちらもお役に立つかもしれません