Javascript 未经nonce检查的wordpress ajax登录的安全风险是什么?
我一直在阅读有关nonce在wordpress后端调用ajax函数时的用法。 我可以很容易地想象www.malistic_site.com带来的安全风险,它有一个javascript调用wordpress函数,在不检查nonce的情况下删除我的帐户。 但假设我只想创建一个登录ajax函数。Javascript 未经nonce检查的wordpress ajax登录的安全风险是什么?,javascript,php,ajax,wordpress,nonce,Javascript,Php,Ajax,Wordpress,Nonce,我一直在阅读有关nonce在wordpress后端调用ajax函数时的用法。 我可以很容易地想象www.malistic_site.com带来的安全风险,它有一个javascript调用wordpress函数,在不检查nonce的情况下删除我的帐户。 但假设我只想创建一个登录ajax函数。 该函数实际上需要正确的用户名和密码,我无法理解没有nonce检查的登录函数的安全风险。也许攻击者可以捕获一个singin请求并回复该请求,但如果所有其他函数都被nonce阻止,攻击者除了获得一个已记录的会话权
该函数实际上需要正确的用户名和密码,我无法理解没有nonce检查的登录函数的安全风险。也许攻击者可以捕获一个singin请求并回复该请求,但如果所有其他函数都被nonce阻止,攻击者除了获得一个已记录的会话权限之外就无能为力了?