Nonce는 한 번만 사용할 수 있는 숫자의 약자입니다. 워드프레스의 넌스는 숫자가 아니라 숫자와 문자로 구성된 해시 값의 문자열로, 한 번만 사용할 수는 없습니다. 또한 수명 주기(수명)가 있습니다. 수명 주기 동안 각 사용자에 대해 동일한 매개변수는 수명 주기가 끝날 때까지 동일한 nonce 값을 생성합니다. 이번 글에서는 Nonce를 활용하여 CSRF 공격을 예방하는 방법을 소개하겠습니다.
Nonce 만들기
Nonce는 Url 요청이나 양식의 숨겨진 요소에 배치한 다음 Ajax 요청 중에 Javascript를 통해 가져올 수 있습니다. Nonce의 수명주기는 현재 세션에만 있습니다. 로그아웃했다가 다시 로그인하면 이전 Nonce도 유효하지 않습니다.
URL에 nonce 추가
wp_nonce_url() 메서드를 통해 URL에 nonce를 추가할 수 있습니다.
wp_nonce_url( $actionurl, $action, $name ); // 例如: $complete_url = wp_nonce_url( $bare_url, 'trash-post_'.$post->ID );
여기서 $bare_url(필수)은 nonce를 추가할 URL이고 $action은 nonce 작업 이름으로 정의됩니다. 선택 사항입니다. , 기본값은 -1입니다.
기본적으로 링크에 생성된 nonce의 이름은 _wpnonce입니다. 충돌 가능성을 피하기 위해 WordPress 버전 3.6 이후 wp_nonce_url은 사용자가 링크 이름에 nonce를 지정할 수 있도록 하는 선택적 $name 매개변수를 추가했습니다. 예:
$complete_url = wp_nonce_url( $bare_url, 'trash-post_'.$post->ID, 'my_nonce' );
Add nonce to Form
wp_nonce_field() 메서드를 통해 양식에 숨겨진 요소를 추가할 수 있습니다.
PHP wp_nonce_field( $action, $name, $referer, $echo ) //例如 : wp_nonce_field( 'delete-comment_'.$comment_id ); wp_nonce_field( $action, $name, $referer, $echo ) //例如 : wp_nonce_field( 'delete-comment_'.$comment_id );
위 메서드를 호출하면 다음과 유사한 코드가 생성됩니다.
<input type="hidden" id="_wpnonce" name="_wpnonce" value="796c7766b1" /> <input type="hidden" name="_wp_http_referer" value="/wp-admin/edit-comments.php" />
단일 nonce 생성
독립적인 nonce를 생성하려는 경우 wp_create_nonce() 메서드를 사용할 수 있습니다.
wp_create_nonce( $action ); // 例如: $nonce = wp_create_nonce( 'my-action_'.$post->ID );
마찬가지로 $action은 선택적 매개변수이고 기본값은 -1입니다. 위 메소드는 "295a686963"과 유사한 결과를 반환합니다.
Nonce의 유효성을 확인하세요
양식에서 Nonce를 확인하세요
관리자 관리 인터페이스에서 check_admin_referer 메소드를 통해 Url의 Nonce의 유효성을 확인할 수 있습니다.
check_admin_referer( $action, $query_arg );
다음은 플러그인 사용 방법을 보여주는 예 check_admin_referer를 사용하여 nonce 확인:
<form method="post"> <!-- some inputs here --> <?php wp_nonce_field( 'name_of_my_action', 'name_of_nonce_field' ); ?> </form>
확인 방법:
check_admin_referer( 'name_of_my_action', 'name_of_nonce_field' );
Verify nonce in Ajax
Ajax 요청에서 nonce의 유효성을 확인하려면 다음을 사용하세요. check_ajax_referer() 메소드:
check_ajax_referer( $action, $query_arg, $die )
$die는 $nonce가 유효하지 않은 경우 스크립트 실행을 종료할지 여부를 지정합니다. (기본값은 True)
check_ajax_referer 사용의 간단한 예:
<?php //Set Your Nonce $ajax_nonce = wp_create_nonce( "my-special-string" ); ?> <script type="text/javascript"> jQuery(document).ready(function($){ var data = { action: 'my_action', security: '<?php echo $ajax_nonce; ?>', my_string: 'Hello World!' }; $.post(ajaxurl, data, function(response) { alert("Response: " + response); }); }); </script>
다음 코드를 사용하여 거꾸로 검증:
add_action( 'wp_ajax_my_action', 'my_action_function' ); function my_action_function() { check_ajax_referer( 'my-special-string', 'security' ); echo sanitize_text_field( $_POST['my_string'] ); wp_die(); }
독립적으로 생성된 nonce 검증
1 wp_verify_nonce( $nonce, $action );