我可以看到wp_nonce_field在隐藏字段中生成一个值。
<input type="hidden" id="message-send" name="message-send" value="cabfd9e42d" />
但是据我所知,wp_verify_nonce没有使用该值,但我可能是错的。
看起来它正在使用会话令牌进行验证。
$expected = substr( wp_hash( $i . '|' . $action . '|' . $uid . '|' . $token, 'nonce'), -12, 10 );
if ( hash_equals( $expected, $nonce ) )
{ return 1; }
那么在隐藏字段中具有value属性有什么意义呢?
是的,我看到了,但是它只会检查它是否不为空,所以可以是任何东西
—
ed-ta
我们也得到了
—
birgire
$nonce
这个比较的价值:hash_equals( $expected, $nonce )
确实如此。我一直在关注价值。
—
ed-ta
$nonce
值-如果$nonce
缺少值,则检查返回false 。