WordPress nonces是一次性使用WordPress生成的安全令牌來幫助保護URL和表單免于濫用。 如果您的主題允許用戶提交數據; 無論是在管理還是前端; 可以使用nonces來驗證用戶是否打算執行操作，并且有助于防止跨站點請求偽造（CSRF）。 一個例子是允許授權用戶上傳視頻的WordPress網站。 作為授權用戶上傳視頻是有意的行動并被許可。 然而，在CSRF中，黑客可以劫持（偽造）使用授權用戶并執行欺詐性提交。 由nonce生成的一次性使用哈希通過驗證上傳請求是由當前登錄的用戶完成的，防止這種類型的偽造攻擊成功。 隨機數是唯一的唯一的當前用戶的會話，所以如果嘗試登錄或退出頁面上的任何隨機變量無效。 ## 創建一個隨機數 - wp_nonce_url() - 向URL添加一個隨機數。 - wp_nonce_field() - 向表單添加一個隨機數。 - wp_create_nonce() - 以自定義方式使用隨機數; 用于處理AJAX請求。 ## 驗證隨機數 - check_admin_referer() - 驗證在管理屏幕中URL或表單中傳遞的隨機數。 - check_ajax_referer() - 檢查隨機數（但不是引用），如果檢查失敗，則默認終止腳本執行。 - wp_verify_nonce() - 驗證在其他上下文中傳遞的隨機數。 ## 示例 在這個例子中，我們有一個基本的提交表單。 創建隨機數 要使用隨機數保護窗體，請使用wp_nonce_field()函數創建一個隱藏的隨機數字段： ``` <form method="post"> <!-- some inputs here ... --> <?php wp_nonce_field( 'name_of_my_action', 'name_of_nonce_field' ); ?> </form> ``` 驗證隨機數 在我們的示例中，我們首先檢查是否設置了nonce字段，因為如果表單尚未提交，我們不希望運行任何內容。 如果表單已經提交，我們使用nonce字段值函數。 如果nonce驗證成功，表單將處理。 ``` if ( ! isset( $_POST['name_of_nonce_field'] ) || ! wp_verify_nonce( $_POST['name_of_nonce_field'], 'name_of_my_action' ) ) { print 'Sorry, your nonce did not verify.'; exit; } else { // process form data } ``` 在這個例子中，基本的隨機過程： - 使用wp_nonce_field()函數生成隨機數。 - 隨機提交表單提交。 - 使用wp_verify_nonce()函數驗證有效性的隨機數。 如果未驗證請求退出并顯示錯誤消息。