Intereting Posts

Форма безопасности: nonce vs. jQuery

Я пытаюсь создать методологию для отправки форм на моем сайте WordPress. Раньше я использовал WordPress nonces, чтобы обеспечить отправку формы, но мне нравится идея использования jQuery для дезинфекции и обработки формы.

Мой вопрос: если я использую jQuery для отправки формы (т. Е. Не было бы данных POST и перезагрузки страницы), разве это не значит, что мне вообще не придется использовать nonces? Есть ли риск / недостаток безопасности для этого?

Solutions Collecting From Web of "Форма безопасности: nonce vs. jQuery"

jQuery – это js-библиотека, а не транспортный протокол, ваши данные отправляются через GET или POST, если вы используете jquery или нет.

Подумайте об этом так, иногда это пользователь в первом кадре, иногда это javascript:

введите описание изображения здесь

Во-первых, nonces – это не то же самое, что санитария, они имеют разные цели

Санитация – это проверка того, что говорит источник, в правильном формате, проверка на неправильные данные и перехват при отправке вредоносных данных.

Nonce – это криптографические маркеры, которые гарантируют, что пользователь отправит запрос из правильного места с правильным разрешением. Пользователь мог получить этот токен безопасности только в том случае, если он был в нужном месте в нужное время (помните ошибку, когда вы могли помещать изображение в свой контент, но атрибут src не указывал на изображение, он указывал на URL выхода из facebook «Это то, что нужно предотвратить».

Поэтому используйте оба.

Кроме того, санитария на стороне клиента недостаточно. Что делать, если я отключу Javascript, или есть ошибка, препятствующая запуску санитарии?

См. Здесь: https://stackoverflow.com/questions/3483514/why-is-client-side-validation-not-enough

Вы также нуждаетесь в уровне PHP-sanitisaiton, это неизбежно . Никогда не доверяйте тому, что отправляет вам клиент / браузер. Возможно, это даже не браузер или ваша страница, отправляющая его.

Предлагаемые темы исследований: