Posso verificar o nonce que foi gerado em um site WP diferente?

Navegue suas respostas
4

Eu tenho um formulário com a ação indo para um site wordpress diferente. Eu quero usar wp_nonce para gerar campos no formulário no site A. Posso usar wp_verify_nonce no site B para verificar os campos nonce?

    
por Luke Seall 04.02.2016 / 14:59

1 resposta

2

Em teoria, sim, mas será algo muito ruim de se fazer. Para isso você precisará ter o segredo usado para gerar o nonce no site A no site B, o que significa que se o site B for comprometido, o site A também pode ser (há também alguma sincronização de tempo que precisa ser feita entre o site, mas que a menor preocupação).

Existem duas maneiras de fazer isso corretamente

  1. não use nada. Além disso, para proteger os usuários registrados e se é improvável que o remetente do formulário seja registrado ou o formulário não faça nada destrutivo no servidor, não adianta usá-los

  2. O site A deve incorporar o formulário como um Iframe do site B. Dessa forma, o nonce foi gerado pelo site B e pode ser verificado sem conhecer os segredos do site A

por Mark Kaplun 04.02.2016 / 15:08

Tags

Detectar um foco no wp_editor Não é possível localizar o diretório de conteúdo do WordPress (wp-content)