質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

1回答

1727閲覧

wp_nonce_field の出力を隠したいです。

passuni

総合スコア7

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

0クリップ

投稿2018/05/18 07:33

前提・実現したいこと

wordpressで
自作問い合わせフォームを作成しております。

問い合わせフォームの確認画面(form1.php)から、「送信」を押した際(form2.phpへpost)、
セキュリティ強化のためにwp_nonce_field()を使い、wp_verify_nonce()でチェックできるようにしました。問題なくデータを渡して処理はできたのですが、
トークンがinput=”hidden”で出力されているのが気になり始め、
フォーラムを参照し、

wp_nonce_field( ‘my_action’ ,’my_nonce’, true, false);
wp_referer_field();

と設定しましたところ、うまく処理が進まなくなってしまいました。
(正規のルートなのに、ちゃんとしたアクセスだと認識してくれない。)

nonceを非表示にして次ページに渡すにはどうしたらよろしいでしょうか?
(また<input type=”hidden”>で渡してもセキュリティ的に問題ないでしょうか? タグに出力されているのが気になっております。)

form1.php

<form method="post" action="form2.php"> <?php wp_nonce_field( 'my_action' ,'my_nonce', true, false); wp_referer_field(); ?> <input type="submit" valuer="送信する"> </form>

form2.php

<?php if ( ! isset($_POST['my_nonce']) || ! wp_verify_nonce( $_POST['my_nonce'], 'my_action' ) ){ echo '正しい処理がされませんでした'; }else{ echo '正しく処理されました'; } ?>

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

nonceを非表示にして次ページに渡すにはどうしたらよろしいでしょうか?

「HTMLにも非表示にするけどPOST時には渡したい」というのであれば、無理です。というのも、POSTはブラウザから行うものである以上、POSTさせる値(JavaScriptで生成するにしても、少なくともその原料となる値)はブラウザに渡さないといけないからです。

一方で、ログイン状態だけで認証を行っていると、有効なログインに乗じて第三者が不適切なデータを投げるCSRFが発生しますので、ログイン状態以外の検証ルートを設けるというのはセキュリティ的に必要です。

<input type=”hidden”>で渡してもセキュリティ的に問題ないでしょうか?

nonceは英単語として「その場限りの」というような意味があり、また「number used once」の略ともされるように、次の画面で検証するために生成したその場限り、使い捨ての値です。攻撃者に取得されても、使い道はほぼありません。

投稿2018/05/18 07:59

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

passuni

2018/05/18 10:08

丁寧にご説明していただき本当にありがとうございます。見えてしまってることに必要以上に不安になってしまいました。 それも基礎がわかっていないからだと思います。もっと本やネットを読み漁って勉強します。改めてありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問