web-dev-qa-db-ja.com

ノンスアクションとオープンソースから利用可能な名前

私はそのコードを公に利用可能にするプラグインを使用しています。

したがって、ナンスを生成するために使用される$actionおよび$nameパラメータは誰でも見ることができます。

これらのパラメータによって提供される追加のセキュリティが低下するため、これは私のサイトをより脆弱にしますか?したがって、これらのパラメータを自分の値に置き換える必要がありますか。

ありがとう。

2
theyuv

Nonceに特有のものです。秘密にされている3番目のプライベートパラメータ(wp_config.phpファイルに追加されたキーの1つ)があるので、心配することは何もありません。

一般に、 "クローズドソース"のようなものはなく、すべてのコードは誰でも読むことができ、解釈することができます。コードがどのように機能するかがわかりやすいからといって、デフォルトではセキュリティ上の問題が解決されるわけではありません。それぞれの場合を独自のメリットで評価する必要があります。

例えばあなたの場合、一回だけの計算は完全に行われるかもしれませんが、コードのバグのために公開されるかもしれません。

1
Mark Kaplun