Q&A
前提
WordPressでAjaxを使ったアクションを実装しています
知りたいこと
nonceの理解を深めたいです
特に「なぜ複数必要とされるのか?」が理解できないので教えて頂けませんでしょうか
以下に複数必要との記載があるソースを列挙してまいります
複数必要との記載があるソース1
まず関数リファレンスですが、
一般的に、アクションに対する名前を可能な限りユニークにするのがベストです。
https://wpdocs.osdn.jp/関数リファレンス/wp_create_nonce
とあり、その理由は明記されていません
複数必要との記載があるソース2
そして類似質問がありましたが、
アクション毎に nonce を別々にするのが望ましいです。
https://ja.wordpress.org/support/topic/「nonce」の使い方について/
とあり、やはり理由が不明です
複数必要との記載があるソース3
またはStackoverflowにも質問がありましたが、
Each form should have its own nonce
https://stackoverflow.com/questions/31987963/should-i-use-different-nonces-for-multiple-forms-on-same-page
その理由がここでもわかりません
役割を調べました
複数必要であるというその理由を知るために、公式マニュアルで本来の役割を見てみました
この「Why use a nonce?」の項目を見ると、予想通りnonceがCSRF対策だとわかります
https://codex.wordpress.org/WordPress_Nonces#Why_use_a_nonce.3F
CSRF対策ならば、nonceは「なぜ複数必要とされるのか?」が結局ナゾです。
普通に1つのトークンをフォームに持たせておけば対策は充分に可能だと思うのですが…?
まとめ
疑問は次の点にまとめられると思います
・nonceにはCSRF対策以外の役割があって、そのときに複数必要なのでしょうか?
・それともCSRF対策のトークンが複数必要なケースというのがあるのでしょうか?
宜しくお願い致します
回答1件
1
WordPressにはデフォルトでコアのAPIのnonceがあって、APIを利用するにあたってはWordPressが用意しているapiFetchを使っていれば、認証を必要とするような場面においてはnonce発行してヘッダにつけてリクエストを投げてくれるので、CSRF対策はとりあえずされます。
しかし、プラグインの開発などにおいては、WordPressにはいろんな人が作ったいろんなプラグインが他に入っていることも想定して作らないといけません。
nonceが分けられていないと、自分のプラグインが発行したnonceを別のプラグインがこっちが認証するより先に破棄してしまうかもしれません。
あるいは本来許可したくない処理が勝手に許可されるかもしれません。
このような競合をしないために、WordPressにおいてはnonceは必要な処理ごとに発行されるのが望ましいです。
また、自身のプラグインの中であっても、処理ごとにnonceが分けられていれば、本来許可したくない処理ができてしまったりということもしにくく、また個別の処理の終了時にnonceの破棄の処理までセットで行っても、別の処理の認証を誤って止めてしまうというリスクも軽減できます。
投稿2022/11/14 02:51
総合スコア7789
あなたの回答
tips
プレビュー
関連した質問
Q&A
WordPressサイトに埋め込んだVimeo動画のフルスクリーンボタンがChromeで非表示になってしまう
Q&A
【`400 Bad Request` 】LaravelでAWS S3に画像をアップロードできない
Q&A
Centos6.7 で yum をすると[Errno 14] problem making ssl connectionとなる
Q&A
Rails 投稿機能実装したいが、投稿を行うとエラー画面になってしまう
Q&A
【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうか。
Q&A
投稿一覧画面にフォローしたユーザーの投稿も表示をさせたい
Q&A
下記のような回答は推奨されていません。
このような回答には修正を依頼しましょう。