在自定义Wordpress API端点中使用nonce

在自定义WordPress API端点中使用nonce是为了增加安全性和防止跨站请求伪造（CSRF）攻击的一种方法。nonce是一种随机生成的令牌，用于验证请求的合法性。

使用nonce的步骤如下：

在WordPress的API端点中，首先需要使用wp_create_nonce()函数生成一个nonce值。这个函数接受一个参数，通常是一个唯一的字符串，用于标识这个nonce的用途。例如：

$nonce = wp_create_nonce( 'my_custom_endpoint' );

在客户端发起请求时，需要将生成的nonce值作为参数传递给API端点。可以将nonce值作为请求的一个参数，或者将其放入请求头中。例如：

fetch('https://example.com/wp-json/my_custom_endpoint', {
  method: 'POST',
  headers: {
    'X-WP-Nonce': '生成的nonce值'
  },
  body: JSON.stringify(data)
})

在API端点的处理函数中，需要验证传递过来的nonce值是否有效。可以使用wp_verify_nonce()函数进行验证。这个函数接受两个参数，第一个是传递过来的nonce值，第二个是之前生成nonce时使用的字符串标识。例如：

$nonce = $_SERVER['HTTP_X_WP_NONCE'];
if ( ! wp_verify_nonce( $nonce, 'my_custom_endpoint' ) ) {
  // 验证失败，处理错误逻辑
} else {
  // 验证成功，处理请求
}

通过使用nonce，可以确保只有具有有效nonce值的请求才能被处理，从而增加了API端点的安全性。这种方法常用于需要对敏感数据进行操作的API端点，如创建、更新或删除数据等。

腾讯云提供了一系列云计算产品，其中包括云服务器、云数据库、云存储等。您可以根据具体需求选择适合的产品。更多关于腾讯云产品的信息，请访问腾讯云官方网站：腾讯云。

相关·内容

WordPress 教程：在 WordPress 中如何使用 Dashicons

Dashicons 是 WordPress 官方出的用于后台的图标字体，可以用于 WordPress 的各个地方，也可以用在 WordPreess 前台，但是你事先要加载相关的 CSS。...add_action( 'wp_enqueue_scripts', function() { wp_enqueue_style( 'dashicons' ); }); 下面讲讲如何在 WordPress...各个地方如何使用 Dashicons register_post_type() 中使用：注册文章类型的时候，如果要自定义文章类型在后台左侧菜单的图标，可以指定 menu_icon 的参数为 dashicons...：自定义后台页面的时候，也可以指定第六个图标的参数为 dashicons： function wpjam_add_my_custom_menu(){ add_menu_page(...">笑脸使用独立的标签，使用 dashicons class：笑脸所有 Dashicons

8842 0

CVE-2024-25600：WordPress Bricks Builder RCE

0x01 简介 Bricks Builder 是一个 WordPress 页面构建插件，它的主要功能是让用户可以通过直观的界面和拖放操作来创建自定义的网页布局。...使用 Bricks Builder，用户可以轻松地设计和定制其网站的页面，而无需编写任何代码。...安装好后登录后台，上传主题并安装启用 0x05 漏洞利用指纹特征：body中包含/wp-content/themes/bricks/ 首先需要得到 nonce，直接访问网站即可然后就可以构造POC...query参数下，要有参数useQueryEditor 构造函数自动执行的前提是所在的类被实例化，继续搜素，看在哪里会实例化Query类在ajax.php#render_element中存在Query...api.php中存在命名相同的方法调用了Ajax#render_element，这里的api.php实际上是一个处理注册的 REST API 端点之一的文件继续搜索调用，找到在它的自定义初始化端点函数

1371 0

在 WordPress 中如何使用 Date 和 Time

PHP 提供很多 date/time 函数，但是 WordPress 有自己的一套，下面讲解下 WordPress 中使用 Date 和 Time 的经验和坑。...时区 - Timezone 使用 date/time 第一个的要注意的时时区，很多错误都是因为这个引起的，比如定时发布的文章在错误的时间发布了（比如你想是北京时间明天早上8点发布的，但是发布在格林尼治时间早上...WordPress 后台是可以让你设置时区的，在设置 > 常规，并且可以使用下面代码获取： $timezone_offet = get_option( 'gmt_offset' ); 如果你的时间戳是...Date 和 time 格式 WordPress 让我们在设置 > 常规修改默认的时间格式，所以我们尽量在代码使用这个格式，而不要使用 date() 来生成，除非你自己要生成特殊的格式。...PHP 中可以使用 Date 和 Time 做很多事情，但是一定要用 WordPress 方式使用它们。

1.5K1 0

在小程序中调用API在小程序中自定义弹窗组件

注意：在组件wxss中不应使用ID选择器、属性选择器和标签名选择器。...（只使用class） #如何使用组件便于区分，引用子组件的页面我们称之为“父组件，” 在父组件的json里先引用子组件： { "usingComponents": { "component-tag-name...在子组件中自定义值是以小驼峰的形式书写的，但是在父组件传的时候要以“-”连接。...然后子组件关闭按钮监听onTap事件，点击子组件关闭按钮时，会通知父组件去改变状态）逻辑：在子组件中给要触发的元素加 bindtap = 'onTap' 然后通过在method中设置onTap函数...在onTap中的triggerEvent中设置要触发父组件事件的函数名称父组件接收到字组件的消息，然后触发事件具体参考：小程序-组件通信子组件： wxml <view class="hide-btn

3K2 0

在 SwiftUI 中实战使用 MapKit API

前言SwiftUI 与 MapKit 的集成在今年发生了重大变化。在之前的 SwiftUI 版本中，我们将 MKMapView 的基本功能封装到名为 Map 的 SwiftUI 视图中。...幸运的是，事情发生了变化，SwiftUI 引入了与 MapKit 集成的新 API。本篇文章我们将学习如何在 SwiftUI 的最新版本中使用可用的新功能丰富的 API 与 MapKit 集成。...正如我之前所说，在 SwiftUI 框架的早期版本中，我们有一个 Map 视图，为我们提供了 MapKit 的基本功能，该功能现在已被弃用。...让我们从使用 SwiftUI 中最新迭代中提供的新 MapKit API 集成的基本示例开始。...MapContentBuilder 类型与符合 MapContent 协议的任何类型一起使用。在我们的示例中，我们使用了 Marker 和 Annotation 类型。

1900 0

WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析

该prepare_query_vars_from_settings方法始终在类的构造函数中调用Bricks\Query。这个类在许多地方被使用和实例化。...还有一个代码元素可用于此漏洞利用，但在本文中，我们将重点关注第 5 行中的代码路径。该方法可通过 admin-ajax.php 端点和 WordPress Rest API 调用。...代码注释：REST API（在 API->render_element_permissions_check() 中检查权限）表示此检查是否在 WP 的 REST API 的权限回调中执行。...即使用户未经过身份验证，Bricks 也会为前端中的每个请求输出有效的随机数。这可以在下面网站主页呈现的 HTML 中看到。...二、修复快速修复很复杂，因为eval的用户输入的功能被利用到后端的多个部分当然，快速修复的方法是向 REST API 端点添加正确的权限检查。但这仍然留下了危险的功能，并且很可能通过其他方式调用它。

1.4K1 0

WordPress在RSS Feed 中输出自定义特色图像（缩略图）

估计不少网友是在了解到Google Reader 关闭的消息后才知道RSS这种东西的，本站DeveWork. com 曾经有过《WordPress在RSS Feed 中输出版权信息》的相关教程，今天则给出个...WordPress在RSS Feed 中输出自定义特色图像的方法，该方法支持通过自定义字符获取的特色图像。...一般来说，如果主题支持特色图像（缩略图），在主题的 functions.php 文件下加入以下代码就可以实现RSS 中输出自定义特色图像（缩略图）的功能： //Feed 输出文章特色图像（缩略图）devework.com...我的特殊图像是通过外链来的（你应该知道，WordPress 本身的特色图像功能不支持外链），就是通过自定义字符来实现特色图像（缩略图）功能。...如果不明白我前面说的是什么，可以参考《WordPress自定义栏目运用实例 VI:设置外链缩略图/特色图像》。网络上是没有相关方法的，不过经过Jeff 的一番探索，写出了以下代码完美实现。

1.4K10 0

Go 装饰器模式在 API 服务程序中的使用

因为 Go 简洁的语法、较高的开发效率和 goroutine，有一段时间也在 Web 开发上颇为流行。由于工作的关系，我最近也在用 Go 开发 API 服务。...但对于 Golang 这种奉行极简主义的语言，如何提高代码复用率就会成为一个很大的挑战，API server 中的大量接口很可能有完全一致的逻辑，如果不解决这个问题，代码会变得非常冗余和难看。...Python 中的装饰器在 Python 中，装饰器功能非常好的解决了这个问题，下面的伪代码中展示了一个例子，检查 token 的逻辑放在了装饰器函数 check_token 里，在接口函数上加一个...以下的 API 服务代码示例是基于 Gin-Gonic 框架，对 Gin 不太熟悉的朋友，可以参考我之前翻译的一篇文章：如何使用 Gin 和 Gorm 搭建一个简单的 API 服务器（一）本文中的代码为了方便展示...pipeline 的方式下传参的方法，只能使用最基本的方式。

3.3K2 0

REST在许多API使用场景中仍然优于GraphQL

Douglas Lopes 在 Unsplash 上在过去的几年里，我一直听到 GraphQL——一种用于 API 的查询语言，允许客户端请求特定数据——是 API 的未来。...但是，当您开始使用 GraphQL 时，您会发现它会产生一整套新的问题，这些问题会压倒其优势。我将分解这些问题，以便您更好地决定 GraphQL 是否值得在您的集成中使用。...随着时间的推移，随着您在请求中增加资源，理解和遵循您的速率限制将变得更加复杂。最后，随着 API 的成熟，其 GraphQL 模式变得更加复杂。...由于这些响应不像 REST 中那样标准化，因此它们更难计划和自动处理。许多工程师都有构建和/或维护 REST API 集成的经验。各种规模的公司主要使用 REST API。...在竞争的 API 架构能够超越——甚至匹配——REST 对提供者和消费者双方的实用性之前，REST 将继续成为首选。

1031 0

在selenium2.0中使用selenium1.0的API

Selenium2.0中使用WeDriver API对页面进行操作，它最大的优点是不需要安装一个selenium server就可以运行，但是对页面进行操作不如selenium1.0的Selenium ...RC API那么方便。...Selenium2.0提供了使用Selenium RC API的方法： // 我用火狐浏览器作为例子 WebDriver driver = new FirefoxDriver(); ...driverInstance = ((WebDriverBackedSelenium)selenium).getUnderlyingWebDriver(); selenium.stop(); 分别使用...WebDriver API和SeleniumRC API写了一个Login的脚本，很明显，后者的操作更加简单明了。

1.7K1 0

WordPress安全架构分析

includes则是一些核心代码，包括前台代码也在这里除了文件目录结构以外，还有一个比较重要的安全机制，也就是nonce，nonce值是wordpress用于防御csrf攻击的手段，所以在wordpress...0x03 nonce安全机制出于防御csrf攻击的目的，wordpress引入了nonce安全机制，只有请求中_wpnonce和预期相等，请求才会被处理。...但我们注意到请求中带有nonce参数，这样一来，我们就没办法通过欺骗点击的方式来触发漏洞了。 wordpress的nonce机制从另一个角度防止了这个漏洞的利用。...对于sql注入的转义在Wordpress中，关于sql注入的防御逻辑比较特别。...我们可以先了解一下Wordpress给api开放的接口，在wordpress的文档中，它推荐wordpress的插件作者通过hook函数来把自定义的接口hook进入原有的功能，甚至重写系统函数。

1.6K2 0

Wordpress安全架构分析

includes则是一些核心代码，包括前台代码也在这里除了文件目录结构以外，还有一个比较重要的安全机制，也就是nonce，nonce值是wordpress用于防御csrf攻击的手段，所以在wordpress...0x03 nonce安全机制出于防御csrf攻击的目的，wordpress引入了nonce安全机制，只有请求中_wpnonce和预期相等，请求才会被处理。...，在nonce这步就会停止。...但我们注意到请求中带有nonce参数，这样一来，我们就没办法通过欺骗点击的方式来触发漏洞了。 wordpress的nonce机制从另一个角度防止了这个漏洞的利用。...我们可以先了解一下Wordpress给api开放的接口，在wordpress的文档中，它推荐wordpress的插件作者通过hook函数来把自定义的接口hook进入原有的功能，甚至重写系统函数。

1.7K8 0

深度解析:在vue3中使用自定义Hooks

Composition API旨在提供更好的代码组织和复用逻辑的方式，它是一组API，使得在Vue 3 应用程序中使用基于逻辑的组合更方便，并尝试解决使用Options API时遇到的一些限制和缺陷。...虽然在vue3的官方文档中并没有提及使用Hooks技术，但是我们在vue3中的Composition API中却时刻能看到Hooks的影子，比如vue3中的onMounted、onUpdated、onUnmounted...这些Hooks可以帮助我们在函数组件中访问Vue的生命周期和状态方法。如何自定义Hooks 自定义Hooks是为了处理组件逻辑的一种模式。...Hooks 在实际应用中，自定义hooks的使用会比我们上面的示例复杂一些，常见的使用场景包括处理网络请求和状态管理。...我们在实际的Vue3组件开发中，应该更加积极地使用自定义hooks，在提高代码质量和性能的同时，更好地满足业务需求。

1.4K2 0

在Python中如何随心所欲使用自定义模块

1.与访问模块的Python文件位于同一目录中 2.在另一个目录中，该目录必须添加到Python解释器的路径中 3.在Python解释器的默认路径内。...导入相同目录里的自定义模块创建另一个名为mainfile.py的文件，位于与刚创建的newmodulepy文件在同一目录中。mainfile.py文件将在本文中用于测试自定义模块的功能。...如果要从Python模块导入所有内容，只需使用星号*运算符即可。通过这种方式，可以使用模块中的所有函数、类等，而无需使用点运算符将该函数附加到模块名称中。这里有一个例子。...可以在sys.path列表中的任何路径中添加自定义模块。很多人喜欢将自定义模块存储在包含site-packages的目录中。...将经常使用的函数存储在它们自己的自定义模块中是一种很好的做法，这样就不必在每次编写新的Python脚本时都重新构建它们。这是一种非常好的方法，可以让你的代码井然有序、简洁明了，让外部用户更容易理解。

2.1K1 0

使用element_text在ggplot2中自定义文本

element_ 功能 element_text( ) element_line( ) element_rect( ) element_blank( ) 本节来介绍主题元素element_text() ,使用它控制绘图中文本元素的许多部分...ggplot2的element_text()剖析 element_text() 控制的元素列表 axis.title.x: 自定义 x 轴标签/标题 axis.title.y : 自定义 y 轴标签/标题...axis.text.x : 自定义 x 轴刻度标签 axis.text.y : 自定义 y 轴刻度标签 legend.title: 自定义图例标题文本 legend.text：自定义图例文本 plot.title...: 自定义图像主标题 plot.subtitle: 自定义图像副标题 plot.caption: 自定义图像的脚注 plot.tag: 自定义绘图的标签加载R包 library(tidyverse)...library(palmerpenguins) 依旧还是使用企鹅的数据集，接下来使用element_text() 函数来调整图像的文本元素 p% drop_na() %>

2.6K1 0

WordPress Elementor 3.6.2 远程代码执行

的 Elementor 插件在 3.6.0 版本中引入了一个 Onboarding 模块，旨在简化插件的初始设置。...该模块使用一种不寻常的方法来注册 AJAX 操作，在其构造函数中添加一个 admin_init 侦听器，该侦听器首先检查请求是否发往 AJAX 端点并在调用 may_handle_ajax 函数之前包含有效的随机数...不幸的是，在易受攻击的版本中没有使用能力检查。...经过身份验证的用户可以通过多种方式获取 Ajax::NONCE_KEY，但最简单的方法之一是以登录用户的身份查看管理仪表板的源，因为它存在于所有经过身份验证的用户中，即使对于订阅者级别的用户。...此外，访问 Ajax::NONCE_KEY 的未经身份验证的攻击者可以使用从 may_handle_ajax 调用的任何函数，尽管这可能需要一个单独的漏洞。

7892 0

WordPress 插件存在漏洞，500 万网站面临严重安全风险

All-in-One WP Migration 是一款流行的 WordPress 网站迁移工具，适用于非技术和经验不足的用户，允许将数据库、媒体、插件和主题无缝导出到一个易于在新目的地恢复的单个存档中。...安全研究人员在发现安全漏洞后，立刻报告给了 ServMask ，2023 年 7 月 26 日，供应商 ServMask 发布了安全更新，为 init 函数引入了权限和非 nonce 验证。...插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击代码片段，这些代码片段在 init 函数中缺乏权限和 nonce 验证。...（该代码还存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中，这些扩展都是为了方便使用上述第三方平台的数据迁移过程而创建。）...2023 年12 月 6 日，安全研究人员又发现高级 WordPress 插件 Brick Builder 中的存在关键远程代码执行 (RCE) 漏洞，威胁攻击者能够利用漏洞在易受攻击的网站上执行恶意

3941 0

使用 MediaStream Recording API 和 Web Audio API 在浏览器中处理音频（未完待续）

使用 MediaStream Recording API 和 Web Audio API 在浏览器中处理音频 1....于是乎，我就顺便调研了下如何在浏览器中处理音频，发现 HTML5 中有专门的API用来处理音频。 2. 核心概念 2.1 MediaStream 一个MediaStream是一个媒体内容的流。...一个流中可能包含几个轨道：比如若干视频轨道和若干音频轨道。...2.4 AudioContext 使用Web Audio API相关接口前，你必需创建一个AudioContext。一切操作都在这个环境里进行。...如何录音首先，我们可以使用getUserMedia向浏览器申请权限： navigator.mediaDevices.getUserMedia({ audio: true }).then((stream

6082 0

WordPress REST API 内容注入漏洞分析

漏洞简介在REST API自动包含在Wordpress4.7以上的版本，WordPress REST API提供了一组易于使用的HTTP端点，可以使用户以简单的JSON格式访问网站的数据，包括用户，帖子...漏洞影响版本 WordPress4.7.0 WordPress4.7.1 0x01 漏洞复现 Seebug上已经给出详细的复现过程，在复现过程中可以使用已经放出的POC来进行测试。...控制器 WP-API中采用了控制器概念，为表示自愿端点的类提供了标准模式，所有资源端点都扩展WP_REST_Controller来保证其实现通用方法。...路由路由是用于访问端点的“名称”，在URL中使用（在非法情况下可控，就像这个漏洞一样）。...现在我们可以忽略路由正则的限制，来传入我们自定义的ID。

3.3K7 0

OAuth2.0 OpenID Connect 三

id_token 一个来源是编码到JWT中的信息。另一个是来自端点的响应/userinfo，可以使用access_token作为不记名令牌访问。...在以下示例中，我们仅使用范围openid（必需）和email. 我们还将使用隐式流，因为它会立即返回令牌。...OIDC 规范中不需要访问令牌的特定格式，我们使用 JWT。...自定义范围和声明 OIDC 规范适应自定义范围和声明。在令牌中包含自定义声明的能力（可通过密码验证）是身份提供者的一项重要功能。Okta 的实现为此提供了支持。...JWK 端点从用于 API 发现的 OIDC“知名”端点公开。这会返回很多信息。

2823 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云