Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/javascript/392.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript 未经nonce检查的wordpress ajax登录的安全风险是什么?_Javascript_Php_Ajax_Wordpress_Nonce - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript 未经nonce检查的wordpress ajax登录的安全风险是什么?

Javascript 未经nonce检查的wordpress ajax登录的安全风险是什么?

javascript php ajax wordpress

Javascript 未经nonce检查的wordpress ajax登录的安全风险是什么?,javascript,php,ajax,wordpress,nonce,Javascript,Php,Ajax,Wordpress,Nonce,我一直在阅读有关nonce在wordpress后端调用ajax函数时的用法。 我可以很容易地想象www.malistic_site.com带来的安全风险,它有一个javascript调用wordpress函数,在不检查nonce的情况下删除我的帐户。 但假设我只想创建一个登录ajax函数。 该函数实际上需要正确的用户名和密码,我无法理解没有nonce检查的登录函数的安全风险。也许攻击者可以捕获一个singin请求并回复该请求,但如果所有其他函数都被nonce阻止,攻击者除了获得一个已记录的会话权

我一直在阅读有关nonce在wordpress后端调用ajax函数时的用法。 我可以很容易地想象www.malistic_site.com带来的安全风险,它有一个javascript调用wordpress函数,在不检查nonce的情况下删除我的帐户。 但假设我只想创建一个登录ajax函数。
该函数实际上需要正确的用户名和密码,我无法理解没有nonce检查的登录函数的安全风险。

也许攻击者可以捕获一个singin请求并回复该请求,但如果所有其他函数都被nonce阻止,攻击者除了获得一个已记录的会话权限之外就无能为力了?