那些遇到过的问题

无法让Wordpress Nonce与Wp-Rest API应用程序一起使用

Ron*_*ers 4 php rest wordpress nonce

我有一个应该是安全的应用程序,因此使用了Nonce,但是我无法使它们正常工作。我尝试了几种方法,但由于验证不起作用,显然缺少了一些内容。

我的js代码片段是:

function placeNew(next){
  _nonce = $('input#_nonce').val();
  request = $.ajax({
    type: 'POST',
    url: url_path + '/foo/v1/newbee',
    data: {bid : next , _nonce : _nonce},
    security: '<?php echo wp_create_nonce( "a" ); ?>',
    dataType: 'json'
});
request.done(function (response, textStatus, jqXHR){
  str = JSON.stringify(response);
  if(response["error"]){
    alert(response["message"]);
  }
Run Code Online (Sandbox Code Playgroud)

使用以下代码将现时值添加到页面:

$nonce = wp_create_nonce( 'a' );
echo "<input type='hidden' id='_nonce' value=" . $nonce ."/>";
Run Code Online (Sandbox Code Playgroud)

在php中,以下函数片段用于获取和比较随机数:

function ace($request) {
    global $wpdb;
    $timestamp = time();
    $nonce = (string) $request['_nonce'];
    $verify = check_ajax_referer( 'a', $nonce, false );
    if ( ! $verify){
        $errMsg = $nonce . '-'. $verify .' not validated ';
        return (object) array(error => true, message => $errMsg);
    }
Run Code Online (Sandbox Code Playgroud)

我总是收到“未验证”消息。$ nonce有值,但$ verify永远不会有值。

Jer*_*emy 8

根据文档

对于提出手动Ajax请求的开发人员,将需要随每个请求传递随机数。API使用操作数设置为wp_rest的随机数。然后,可以通过_wpnonce数据参数(POST数据或在GET请求的查询中)或通过X-WP-Nonce标头将它们传递给API。

您缺少的重要部分是:

API使用操作数设置为wp_rest的随机数。

为了使其正常工作,您必须在wp_create_nonceto中命名您的操作wp_rest

因此,对于您的代码,您必须更改以下所有实例: 

wp_create_nonce( "a" )
Run Code Online (Sandbox Code Playgroud) 

wp_create_nonce( 'wp_rest' )
Run Code Online (Sandbox Code Playgroud)

此外,正如文档所述:

提供随机数作为标头是最可靠的方法。

因此,将其添加到您的ajax很简单,看起来像:

var _nonce = "<?php echo wp_create_nonce( 'wp_rest' ); ?>";
$.ajax({
    type: 'POST',
    url: url_path + '/foo/v1/newbee',
    data: {
        bid : next
    },
    dataType: 'json',
    beforeSend: function ( xhr ) {
        xhr.setRequestHeader( 'X-WP-Nonce', _nonce );
    }
});
Run Code Online (Sandbox Code Playgroud)

另外,要修复支票

check_ajax_referer( 'a', $nonce, false )
Run Code Online (Sandbox Code Playgroud)

现在应该是

check_ajax_referer( 'wp_rest', '_nonce', false )
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

5430 次

最近记录:

8 年,5 月 前
相关归档
toString实现的最佳标准样式是什么? 36
Zend_Gdata和OAuth 19
以RESTful方式许可和会话 7
带有Timber RSS Feed问题的自定义存档页面 6
如何将纯文本发布到WCF服务,即不包含在XML标记中? 5
Android REST POST失去日期值 5
WordPress-通过没有插件的视图获得5个热门帖子 2
无法让自定义属性在菜单中工作 2
在 vertx 上使用 httpclient 时出错 2
'OFFSET'=> 1(WordPress)是什么意思 0
难疑归档
C++中的" - >"运算符是什么? 8590
在JavaScript中深度克隆对象的最有效方法是什么? 5181
迭代HashMap 3244
如何使用Curl从终端/命令行发布JSON数据到测试Spring REST? 2606
如何使用保存实例状态保存Android Activity状态? 2538
在SQL表中查找重复值 1789
比较Java枚举成员:==或equals()? 1645
.gitignore被Git忽略了 1407
如何检查对象是否在JavaScript中具有属性? 1396
如何通过对象中的属性对List <T>进行排序 1146