开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在自定义Wordpress API端点中使用nonce

在自定义WordPress API端点中使用nonce是为了增加安全性和防止跨站请求伪造（CSRF）攻击的一种方法。nonce是一种随机生成的令牌，用于验证请求的合法性。

使用nonce的步骤如下：

在WordPress的API端点中，首先需要使用wp_create_nonce()函数生成一个nonce值。这个函数接受一个参数，通常是一个唯一的字符串，用于标识这个nonce的用途。例如：

$nonce = wp_create_nonce( 'my_custom_endpoint' );

在客户端发起请求时，需要将生成的nonce值作为参数传递给API端点。可以将nonce值作为请求的一个参数，或者将其放入请求头中。例如：

fetch('https://example.com/wp-json/my_custom_endpoint', {
  method: 'POST',
  headers: {
    'X-WP-Nonce': '生成的nonce值'
  },
  body: JSON.stringify(data)
})

在API端点的处理函数中，需要验证传递过来的nonce值是否有效。可以使用wp_verify_nonce()函数进行验证。这个函数接受两个参数，第一个是传递过来的nonce值，第二个是之前生成nonce时使用的字符串标识。例如：

$nonce = $_SERVER['HTTP_X_WP_NONCE'];
if ( ! wp_verify_nonce( $nonce, 'my_custom_endpoint' ) ) {
  // 验证失败，处理错误逻辑
} else {
  // 验证成功，处理请求
}

通过使用nonce，可以确保只有具有有效nonce值的请求才能被处理，从而增加了API端点的安全性。这种方法常用于需要对敏感数据进行操作的API端点，如创建、更新或删除数据等。

腾讯云提供了一系列云计算产品，其中包括云服务器、云数据库、云存储等。您可以根据具体需求选择适合的产品。更多关于腾讯云产品的信息，请访问腾讯云官方网站：腾讯云。

相关搜索:Wordpress Rest Api在自定义端点上使用POST更新内容 wordpress rest api自定义端点-在请求API中添加头 WordPress自定义REST API端点不返回数据使用Graph API端点中断在OneDrive中搜索文件使用操作挂钩创建自定义Wordpress REST API端点在API Request- R中添加'nonce‘在Nodejs中对来宾和用户使用相同的API端点在wordpress rest api中包含postmeta 在WordPress Rest Api中添加自定义端点在发布版本中隐藏api端点

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

OAuth2.0 OpenID Connect 三

JWT 的好处是能够在其中携带信息。有了可用于您的应用程序的此信息，您可以轻松强制执行令牌过期并减少 API 调用次数。此外，由于它们经过加密签名，您可以验证它们是否未被篡改。

03

WordPress JSON REST API简单介绍及使用

这个插件（WordPress JSON REST API (WP API)）提供了一个易于使用的REST API，让我们可以通过HTTP获取简单方便的JSON格式的数据，这些数据包括用户，文章，分类等等。获取或更新数据非常简单，只需要发送一个HTTP请求就可以了。

01

WordPress添加自定义字段栏目面板

wordpress博客的自定义栏目使用非常泛，没有使用过自定义栏目的博友可以看看《WordPress 自定义字段自定义域的使用方法》。主题制作中往往会使用WP自定义字段实现一些功能，特别是在wordpress淘宝客模板中的使用，产品的价格、链接都可以通过自定义栏目使用。默认的自定义字段使用方法是下拉菜单形式，对于经常使用的字段，每次都要下拉选择显然非常不方便，因此给WP主题添加自定义栏目面板显得非常有必要。下面通过在主题的functions.php文件中添加代码实现该功能。

02

WordPress REST API 内容注入漏洞分析

0x00 漏洞简述 1. 漏洞简介在REST API自动包含在Wordpress4.7以上的版本，WordPress REST API提供了一组易于使用的HTTP端点，可以使用户以简单的JSON格式访问网站的数据，包括用户，帖子，分类等。检索或更新数据与发送HTTP请求一样简单。上周，一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露，该漏洞可以导致WordPress所有文章内容可以未经验证被查看，修改，删除，甚至创建新的文章，危害巨大。 2. 漏洞影响版本 Word

07

快速展示原型之Minimal API开发

Minimal API官网地址： https://learn.microsoft.com/zh-cn/aspnet/core/fundamentals/minimal-apis/security?view=aspnetcore-7.0

01

WordPress 中一些常用的常量

WordPress 中有很多事先定义好的常量，如果应用好这些常量，可以灵活应用 WordPress，如我们可以实现：一个 WordPress 安装，多个博客。下面就介绍下我知道的一些常用的 WordPress 变量：数据库设置的时候可以设置很多常量，这部分在我这篇日志中 WordPress 设置指南里面已经讲的一部分，这里就不重复。

04

WordPress安全架构分析

WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。WordPress具有插件架构和模板系统。Alexa排行前100万的网站中有超过16.7%的网站使用WordPress。到了2011年8月，约22%的新网站采用了WordPress。WordPress是目前因特网上最流行的博客系统。

02

Wordpress安全架构分析

WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。WordPress具有插件架构和模板系统。Alexa排行前100万的网站中有超过16.7%的网站使用WordPress。到了2011年8月，约22%的新网站采用了WordPress。WordPress是目前因特网上最流行的博客系统。

08

WordPress 自定义文章类型（Post Type）终极指南

WordPress 里面内置了两种常用的 Post Type ：Post（文章）、Page（页面），分别用来展示两种类型的内容，一种是相对动态的文章，另一种是相对固定的页面。

02

以太坊中GraphQL简介及使用

以太坊在去年升级的go-ethereum（geth）1.9.0大版本，除了性能得到大幅提升之外，引入了GraphQL，一种节点接口查询机制，用以补充JSON-RPC。

01

wordpress 为自定义类型文章新增自定义字段的方法-文曦博客

wordpress强大之处在于有很强的可自定义性，使得插件、主题的开发变得及其便利。就拿我们今天要说的自定义文章添加自定义字段来说，就很便捷。

03

WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析

Bricks <= 1.9.6 容易受到未经身份验证的远程代码执行 (RCE) 的攻击，这意味着任何人都可以运行任意命令并接管站点/服务器。

01

使用 Nonce 防止 WordPress 网站受到 CSRF 攻击

CSRF（Cross-site request forgery）跨站请求伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。

01

每天一个WordPress文件：wp-config.php

wp-config.php 是 WordPress 用来保存配置信息的地方，包含网站的基础配置详细信息（如数据库连接信息），它是 WordPress 最重要的文件之一，该文件位于 WordPress 文件目录的根目录中。

03

Facebook账户接管漏洞

我下载了一堆不同版本的FB和Messenger APK，收集了所有的端点，对它们进行了分类并进行了检查。

00

WordPress多语言WPMLv4.6.3插件自动翻译多国语言

WPML是WordPress的一个插件。简单来说，插件扩展了基本的WordPress CMS功能。在我们的情况下，WPML让WordPress支持多语言。请注意！自动翻译功能不是这个插件的一部分，但你可以直接从开发者那里购买作为单独的付费服务。 WPML允许作者使用不同的语言编写内容并进行翻译。它还包括高级功能，用于翻译管理和专业内容翻译的接口。使用WPML不需要任何技术或编程技能。网站管理员可以安装它并将其转换为多语言网站，而无需编码。WPML包括完整的API，用于与其他插件和翻译系统集成。这样，开发人员就可以轻松地使用WPML并将其产品转换为多语言。

01

微服务架构之Spring Boot（八十一）

Spring Boot提供了一个 metrics 端点，可以在诊断上用于检查应用程序收集的指标。默认情况下端点不可用，必须公开，请参阅公开端点以获

02

WordPress 插件存在漏洞，500 万网站面临严重安全风险

LiteSpeed Cache 主要用于提高网站性能，据不完全统计已经有 500 多万安装用户。

01

Spring Boot 从入门到实践系列教程（5）- SpringBoot执行器

在本文中，我们将介绍Spring Boot Actuator。我们将首先介绍基础知识，然后详细讨论Spring Boot 1.x与2.x中可用的内容。

02

一个函数就搞定 WordPress 文章选项开发

我在 WPJAM Basic 插件的介绍页面就说过，WPJAM Basic 是我们 WordPres 果酱团队进行二次开发的基础，甚至花生小店这么复杂的电商小程序 SaaS 平台就是在 WPJAM Basic 的基础上开发出来的。

03

WordPress 4.9“Tipton”正式版已于11月14号正式发布

说起博客开源程序，我想很多人都会想到wp，它是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站，当然如果你的技术很牛掰也可以把它当作一个内容管理系统（CMS）来使用。11月14号WordPress开发团队发布了WordPress 4.9正式版，为了纪念爵士音乐家和乐队领袖Billy TiptonWordPress 4.9命名为Tipton。

02

WordPress 常量概述

我们知道 WordPress 有很多预定义的常量，我们开发的时候，如果你是 WordPress 开发者，会经常用到这些常量，为了方便 WordPress 开发者的使用，WP Engineer 把所有的 WordPress 常用的常量都罗列出来：

02

WordPress开发人员犯的12个最严重的错误

原本之前还有篇ruby的，拖得时间有点久了，同时本身没想过去过多接触ruby，所以暂且就不再祸害那篇文章了，有兴趣的可自己去看Creating a Ruby DSL: A Guide to Advanced Metaprogramming，以下为本文的英文原文链接：

01

开源日报 0825 | 简化开发过程，提升Swift应用性能的扩展工具库

OpenZeppelin Contracts 是一个用于安全智能合约开发的库。它建立在社区验证过的代码基础上，具有以下主要功能：

02

如何在Ubuntu 16.04上使用MySQL设置远程数据库以优化站点性能

随着您的应用程序或网站的增长，您可能已经超出了当前的服务器设置。如果您在同一台计算机上托管Web服务器和数据库后端，最好将这两个功能分开，以便每个功能可以在自己的硬件上运行，并分担响应访问者请求的负载。

00

从瑞士军刀到变形金刚--XSS攻击面拓展

前段时间我阅读了Sucuri Security的brutelogic的一篇博客以及ppt，对xss有了一些新的理解。

01

在Ubuntu上使用MySQL设置远程数据库优化站点性能

随着您的应用程序或网站的增长，您可能已经超出了当前的服务器设置。如果您在同一台计算机上托管Web服务器和数据库后端，最好将这两个功能分开，以便每个功能可以在自己的硬件上运行，并分担响应访问者请求的负载。

01

使用编排工具OpenStack Heat来自动扩展您的应用程序（第1部分）

摘要总结：本文探讨了如何使用OpenStack的Heat模板自动扩展应用程序，并介绍了如何定义自定义指标和触发器以实现自动缩放。通过使用Heat和Ceilometer，用户可以自动缩放OpenStack云中的资源，例如计算实例和存储。

如何将XSS漏洞从中危提升到严重

当你在提交一个XSS漏洞之前，应该想办法寻找一切可以利用它来提高严重性的办法。我的报告中记录了时下流行的平台，如Wordpress和Drupal的一些武器化的javascript Payload。并且我将在接下来的几周内添加更多内容。

01

为什么我使用 GraphQL 而放弃 REST API？

本文最初发布于 Max Desiatov 的个人博客，经原作者授权由 InfoQ 中文站翻译并分享。

03

针对WordPress的攻击调查

WordPress是一个著名的开源内容管理系统（CMS），用于创建网站和个人博客，据估计，目前35%的网站都在使用CMS。

02

WordPress数据库配置文件wp-config.php详解

相信不少站长对于wp-config.php的理解只是用来配置mysql数据库的，当WordPress站点出现mysql无法连接或者是密码错误时，第一时间就会想到这个文件，当然，wp-config.php主要就是用连接mysql数据库配置信息的，哪么除了连接mysql数据库之外，这个文件还有哪些功效呢。

02

「Spring」认证安全架构指南

本指南是 Spring Security 的入门指南，提供对框架设计和基本构建块的深入了解。我们仅涵盖应用程序安全的基础知识。但是，这样做，我们可以清除使用 Spring Security 的开发人员遇到的一些困惑。为此，我们通过使用过滤器，更一般地，通过使用方法注解，来看看在 Web 应用程序中应用安全性的方式。当您需要深入了解安全应用程序的工作原理、如何对其进行自定义或需要学习如何考虑应用程序安全性时，请使用本指南。

03

Spring认证-Spring 安全架构专题教程

本指南是 Spring Security 的入门，提供对框架设计和基本构建块的深入了解。我们只涵盖应用程序安全的基础知识。但是，通过这样做，我们可以消除使用 Spring Security 的开发人员所遇到的一些困惑。为此，我们通过使用过滤器，更一般地说，通过使用方法注释来查看在 Web 应用程序中应用安全性的方式。当您需要对安全应用程序的工作原理、如何对其进行自定义，或者需要了解如何考虑应用程序安全性时，请使用本指南。

02

【译】Spring 官方教程：Spring Security 架构

原文：Spring Security Architecture 译者：徐靖峰校对：马超君专题指南本文是 Spring Security 的入门指南，并对 Spring Security 的框架设计和基础组件进行深度解析。我们仅涉及应用程序安全性的基础知识，但这已足够消除开发人员在使用 Spring Security 时遇到的一些困惑。要做到这一点，我们需要了解如何使用过滤器和方法注解来保障Web应用程序的安全性。如果你需要了解高级别安全应用程序的工作方式，以及如何定制安全应用程序，或只需要学习如何思考

07

如何在 Ubuntu 20.04 上使用LEMP安装WordPress

WordPress 需要 Web 服务器、数据库和 PHP 才能正常运行。设置 LEMP 堆栈（Linux、Nginx、MySQL 和 PHP）可以满足所有这些要求。无需自己设置这些组件，您可以快速配置已经安装了 LEMP 堆栈的 Ubuntu 20.04 服务器、

03

WordPress Elementor 3.6.2 远程代码执行

CVSS 矢量：CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

02

05. Springboot admin集成Actuator（一）

Spring Boot Actuator是Spring Boot提供的一个用于监控和管理应用程序的扩展模块。Actuator通过HTTP端点和JMX（Java Management Extensions）提供了一系列功能，包括查看应用程序的运行状况、度量指标、日志、追踪和应用信息。它为开发人员和运维人员提供了方便的手段来监控和管理Spring Boot应用。

01

展示 Postlight 的 WordPress + React Starter Kit

认识 Post light 的 WordPress + React Starter Kit，这是一个免费的、从零到神的工具箱，适用于需要在自己的 PC 上轻松评估Headless WordPress 的建筑师和物品爱好者。

03

WordPress Popular Posts 5.3.2 远程代码执行

https://github.com/rapid7/metasploit-framework

03

聊聊Spring Boot Actuator

在本文中，我们将介绍Spring Boot Actuator。我们将首先介绍基础知识，然后详细讨论Spring Boot 1.x和2.x中的可用内容。

06

揭秘 Uber API 网关的架构，建议收藏！

近年来，API 网关成了微服务架构中不可或缺的一部分。API 网关为 Uber 所有的应用程序提供一个统一入口，并提供了一个从后端微服务访问数据、逻辑或功能的接口。同时，它还提供了一个集中的地方来实现许多高级职责，包括路由、协议转换、速率限制、负载削减、丰富头信息并传播、数据中心亲缘性限定、安全审计、用户访问阻塞、移动客户端生成等。

02

打造 API 接口的堡垒

伴随互联网革命快速创新发展，API 需求的日益剧增，针对 API 的攻击几乎遍布各个行业，据报道 2022 年全年平均每月遭受攻击的 API 数量超过 21 万，游戏、社交、电商、制造等行业依然是攻击者主要目标。例如社交软件某特，在 2021 年发生数据泄露事件，此次数据泄露影响了多达 540 万用户，产生这场“惨案” 正是攻击者利用了登录 API 端点，产生这一漏洞的原因很可能是 API 过度数据暴露以及安全配置错误（下面我会讲到）。显然无论是 API 攻击整体趋势还是对企业和用户的影响都是不容乐观的。那如何去搭建 API 接口的安全“堡垒”？下面我们将展开探讨。

01

为WordPress添加自定义设置上传头像功能

虽热这个功能使用场景和频率都非常低，但在有时候还是需要WordPress来显示头像的，但是 zuanmang.net并不是每个人都有注册设置Gravatar头像。所以便需要我们手动为WordPress添加后台可自定义上传头像的功能，如下:

00

ASP.NET Core3.X 终端中间件转换为端点路由运行

前几天.NET Core3.1发布,于是我把公司一个基础通用系统升级了,同时删除了几个基础模块当然这几个基础模块与.NET Core3.1无关，其中包括了支付模块，升级完后静文（同事）问我你把支付删除了啊？我说是啊，没考虑好怎么加上(感觉目前不太好，我需要重新设计一下)。

01

【译】WordPress 中的50个过滤器(5)：第31-40个过滤器

本文为系列第三篇，原文：50 Filters of WordPress: Filters 31-40 原文地址在过去的两篇文章中，我们总共介绍了30个WordPress 的过滤器。在本文中，我们将接触其他类型的过滤器，一如既往，有例子予以加深理解。本系列文章翻译自tutsplus，原作者为Barış Ünver，翻译人：Jeff，转载请注明原始来源及翻译人，谢谢！本文若有修正，不会更新于本页，只会更新到Github项目地址上。过滤默认的相册样式 WordPress 中会使用[ gallery]这

07

使用腾讯云“自定义监控”监控 GPU 使用率

本文旨在通过使用腾讯云的“自定义监控”服务来自行实现对 GPU 服务器的 GPU 使用率的监控。

WordPress主题开发基础：Body 类指南

您是一位有抱负的WordPress主题设计师吗，正在寻找在主题中使用CSS的新方法？幸运的是，WordPress会自动添加您可以在主题中使用的CSS类。这些CSS类中的几个会自动添加到WordPress网站上每个页面的<body>部分。

02

Spring Security OAuth 2开发者指南

这个用户指南支持OAuth 2.0。对于OAuth 1.0，一切都是不同的，所以去这里看它的用户指南。

02

002.WordPress常见插件

Akismet 是 WordPress 官方推荐的一款 WordPress 防垃圾评论插件，也是默认已安装的插件。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭