[PR]
2024/11/24/Sunday
×
[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
WordPressプラグイン wp_nonce_fieldってなに?
2013/08/02/Friday
他のサイトから来ていないかどうかの保護用?みたいなことらしいけど、いまいちよくわからない。
意味合い的には、CSRF対策=リクエスト強要、ということらしいです。外部攻撃対策的な。
管理者ページからのリクエストかどうかのチェック方法は、
wp_verify_nonce
ではなく
check_admin_referer
を使う方が良いそうです。
注意点は、引数はユニークであること!"プラグイン名" + "アクション名" + オブジェクト名、と指定するのが正しいらしい。
■WordPress での CSRF 対策
http://hetarena.com/archives/2039
nonceってなに?を詳しく解説。ワードプレスの場合は有効期間があるらしい。
■【WordPressの自作プラグインの設定画面に入力フォームを設置した場合に気をつける基本的なこと】そしてWordCampのあるセッションでプラグイン開発について改めて考えさせられました
http://www.imamura.biz/blog/cms/wordpress/6553
具体的な使い方。サンプルソース有。
■WordPressプラグインのコーディングでありがちな10の間違いと設計時に考慮すべきこと
http://tokkono.cute.coocan.jp/blog/slow/index.php/wordpress/most-common-mistakes-in-wordpress-plugins-coding/
nonceのこと以外にもいろいろ書かれていて参考になりました。
意味合い的には、CSRF対策=リクエスト強要、ということらしいです。外部攻撃対策的な。
管理者ページからのリクエストかどうかのチェック方法は、
wp_verify_nonce
ではなく
check_admin_referer
を使う方が良いそうです。
注意点は、引数はユニークであること!"プラグイン名" + "アクション名" + オブジェクト名、と指定するのが正しいらしい。
■WordPress での CSRF 対策
http://hetarena.com/archives/2039
nonceってなに?を詳しく解説。ワードプレスの場合は有効期間があるらしい。
■【WordPressの自作プラグインの設定画面に入力フォームを設置した場合に気をつける基本的なこと】そしてWordCampのあるセッションでプラグイン開発について改めて考えさせられました
http://www.imamura.biz/blog/cms/wordpress/6553
具体的な使い方。サンプルソース有。
■WordPressプラグインのコーディングでありがちな10の間違いと設計時に考慮すべきこと
http://tokkono.cute.coocan.jp/blog/slow/index.php/wordpress/most-common-mistakes-in-wordpress-plugins-coding/
nonceのこと以外にもいろいろ書かれていて参考になりました。
最新記事
(09/03)
(09/03)
(09/02)
(09/02)
(08/27)