ajax nonce wordpress安全性。我可以用它来保护json数据不被刮取吗？

我正在用ajax构建一个wordpress插件，并希望保护json数据免受窥探者和数据刮取者的攻击

我的想法。。。在服务器端，我将表单提交中隐藏的html字段中的nonce发送到jquery脚本

此脚本通过从php文件获取一些json数据来请求

在php文件响应GET请求之前，它首先检查nonce是否有效，如果有效，则返回json数据。如果不是，则不返回任何内容/死亡/执行一些很酷的操作，将该IP地址锁定一段时间

如果scraper使用get请求直接访问数据文件，但nonce不正确，则不会返回任何数据。如果一个人偷看了数据文件，但他们没有当前状态，那么他们将什么也看不到。。。这是正确的吗？我知道nonce只使用一次，所以即使他们有一个旧的nonce，他们仍然无法查看数据，除非wordpress生成一个新的nonce

---

这是可能的还是我完全忽略了nonce的要点？

在我看来，你似乎对Wordpress nonce的工作原理有大致的了解，但这里有一些阅读：

我认为你需要记住几件事：

如果所有这些功能主要用于Wordpress的管理端，那么您还必须了解，为了使scraper被视为威胁，它将需要与普通用户相同的凭据。没有用户名和密码，刮板怎么能刮你的管理面板？不可能。如果您对Wordpress自己使用的核心安全性感到满意，那么您额外的Nonce功能就是大量的flash和flare，以消除不存在的威胁

如果您的敏感数据要与管理面板分开保存，那么Nonce可能是保护它的一种方法，我想，但这并不是Nonce的目的。有很多更安全的方法来保护你的信息，而不是依赖WordPress的Noice功能，所以考虑一下一个更相关的选择。

IP禁令非常简单，但您还必须了解，这并不是一种万无一失的方法，因为IP地址很容易伪造，并且可能会产生一些意想不到的后果。您可能能够成功地禁止试图访问私人信息的人的IP地址，但如果该人试图通过网络访问，该怎么办？你已经有效地禁止了整个网络访问你的网站，而不仅仅是一个人

总而言之，你应该确保你在任何特定的工作中使用了正确的工具。我认为使用Nonce来实现这一目的当然是可能的，但它远不是理想的