没有让 wordpress nonce 与 wp-rest api 应用程序一起工作

Question

我有一个应该是安全的应用程序，因此使用了 Nonce，但我无法让它们工作。 我已经尝试了几个选项，但由于验证不起作用，显然缺少一些东西。

我的js代码片段是：

function placeNew(next){
  _nonce = $('input#_nonce').val();
  request = $.ajax({
    type: 'POST',
    url: url_path + '/foo/v1/newbee',
    data: {bid : next , _nonce : _nonce},
    security: '<?php echo wp_create_nonce( "a" ); ?>',
    dataType: 'json'
});
request.done(function (response, textStatus, jqXHR){
  str = JSON.stringify(response);
  if(response["error"]){
    alert(response["message"]);
  }

nonce 被添加到页面中，代码如下：

$nonce = wp_create_nonce( 'a' );
echo "<input type='hidden' id='_nonce' value=" . $nonce ."/>";

在 php 中，以下函数片段用于获取和比较 nonce：

function ace($request) {
    global $wpdb;
    $timestamp = time();
    $nonce = (string) $request['_nonce'];
    $verify = check_ajax_referer( 'a', $nonce, false );
    if ( ! $verify){
        $errMsg = $nonce . '-'. $verify .' not validated ';
        return (object) array(error => true, message => $errMsg);
    }

我总是收到“未验证”的消息。 $nonce 有一个值，但 $verify 永远不会得到一个值。

Answer 1

根据docs：

对于发出手动 Ajax 请求的开发人员，需要传递随机数 每个请求。 API 使用随机数并将操作设置为 wp_rest。这些 然后可以通过 _wpnonce 数据参数（POST 数据或在 GET 请求的查询中），或通过 X-WP-Nonce 标头。

您缺少的重要部分是：

API 使用随机数并将操作设置为 wp_rest。

要使其正常工作，您必须将 wp_create_nonce 中的操作命名为 wp_rest。

因此，对于您的代码，您必须更改以下所有实例：

wp_create_nonce( "a" )

到

wp_create_nonce( 'wp_rest' )

此外，正如文档所述：

提供随机数作为标头是最可靠的方法。

所以将它添加到你的 ajax 很简单，看起来像：

var _nonce = "<?php echo wp_create_nonce( 'wp_rest' ); ?>";
$.ajax({
    type: 'POST',
    url: url_path + '/foo/v1/newbee',
    data: {
        bid : next
    },
    dataType: 'json',
    beforeSend: function ( xhr ) {
        xhr.setRequestHeader( 'X-WP-Nonce', _nonce );
    }
});

另外，修复检查

check_ajax_referer( 'a', $nonce, false )

现在应该是

check_ajax_referer( 'wp_rest', '_nonce', false )