WordPressのnonceはなぜ複数必要とされるのか？（CSRF対策のトークンはいつ複数必要なのか？）

前提

WordPressでAjaxを使ったアクションを実装しています

知りたいこと

nonceの理解を深めたいです

特に「なぜ複数必要とされるのか？」が理解できないので教えて頂けませんでしょうか

以下に複数必要との記載があるソースを列挙してまいります

複数必要との記載があるソース１

まず関数リファレンスですが、

一般的に、アクションに対する名前を可能な限りユニークにするのがベストです。
https://wpdocs.osdn.jp/関数リファレンス/wp_create_nonce

とあり、その理由は明記されていません

複数必要との記載があるソース２

そして類似質問がありましたが、

アクション毎に nonce を別々にするのが望ましいです。
https://ja.wordpress.org/support/topic/「nonce」の使い方について/

とあり、やはり理由が不明です

複数必要との記載があるソース３

またはStackoverflowにも質問がありましたが、

Each form should have its own nonce
https://stackoverflow.com/questions/31987963/should-i-use-different-nonces-for-multiple-forms-on-same-page

その理由がここでもわかりません

役割を調べました

複数必要であるというその理由を知るために、公式マニュアルで本来の役割を見てみました

この「Why use a nonce?」の項目を見ると、予想通りnonceがCSRF対策だとわかります

https://codex.wordpress.org/WordPress_Nonces#Why_use_a_nonce.3F

CSRF対策ならば、nonceは「なぜ複数必要とされるのか？」が結局ナゾです。

普通に１つのトークンをフォームに持たせておけば対策は充分に可能だと思うのですが…？

まとめ

疑問は次の点にまとめられると思います

・nonceにはCSRF対策以外の役割があって、そのときに複数必要なのでしょうか？
・それともCSRF対策のトークンが複数必要なケースというのがあるのでしょうか？

宜しくお願い致します

行動規範の内容に同意します

回答1件

ベストアンサー

WordPressにはデフォルトでコアのAPIのnonceがあって、APIを利用するにあたってはWordPressが用意しているapiFetchを使っていれば、認証を必要とするような場面においてはnonce発行してヘッダにつけてリクエストを投げてくれるので、CSRF対策はとりあえずされます。
しかし、プラグインの開発などにおいては、WordPressにはいろんな人が作ったいろんなプラグインが他に入っていることも想定して作らないといけません。
nonceが分けられていないと、自分のプラグインが発行したnonceを別のプラグインがこっちが認証するより先に破棄してしまうかもしれません。
あるいは本来許可したくない処理が勝手に許可されるかもしれません。
このような競合をしないために、WordPressにおいてはnonceは必要な処理ごとに発行されるのが望ましいです。

また、自身のプラグインの中であっても、処理ごとにnonceが分けられていれば、本来許可したくない処理ができてしまったりということもしにくく、また個別の処理の終了時にnonceの破棄の処理までセットで行っても、別の処理の認証を誤って止めてしまうというリスクも軽減できます。

投稿2022/11/14 02:51