私はajaxリクエストによるノンスの基本検証に問題があります。ワードプレスナンスのチェックは常に偽です
それらは私のスクリプト・ローダとCSSローダ機能です:私のjavascrtipファイルで (gallery.php中)
function gallery_js_loader()
{
if (!is_admin()) return;
// async flash uploader
wp_enqueue_script('swfobject', THEMEURL . "/lib/uploadify/swfobject.js", array(), false, true);
wp_enqueue_script('uploadify', THEMEURL . "/lib/uploadify/jquery.uploadify.v2.1.4.min.js", array('jquery'), false, true);
wp_enqueue_script('gallery_admin_scripts', THEMEURL . "/inc/galleries/gallery_admin_scripts.js", array(), false, true);
wp_localize_script('gallery_admin_scripts', 'param',
array(
'basename' => GALLERYPOST,
'baselocation' => THEMEURL,
'nonce' => wp_create_nonce('file-upload-nonce'),
'thumb_width' => intval(get_option('thumbnail_size_w')),
'thumb_height' => intval(get_option('thumbnail_size_h'))
));
// main styles
}
function gallery_css_loader()
{
wp_enqueue_style('uploadify_styles', THEMEURL . "/lib/uploadify/uploadify.css");
wp_enqueue_style('gallery_admin_styles', THEMEURL . "/inc/galleries/gallery_admin_styles.css");
}
add_action('admin_print_scripts-post.php', 'gallery_js_loader');
add_action('admin_print_scripts-post-new.php', 'gallery_js_loader');
add_action('admin_print_styles-post.php', 'gallery_css_loader');
add_action('admin_print_styles-post-new.php', 'gallery_css_loader');
function gallery_upload_image()
{
$nonce = $_POST["nonce"];
if (is_admin() && !empty($_FILES) /*&& wp_verify_nonce($nonce, 'file-upload-nonce')*/) {
require_once(ABSPATH . 'wp-admin/includes/image.php');
$tempFile = $_FILES['Filedata']['tmp_name'];
// $targetPath = $_SERVER['DOCUMENT_ROOT'] . $_REQUEST['folder'] . '/';
$targetDir = wp_upload_dir(date('Y'));
$targetFile = $targetDir['path'] . '/' . $_FILES['Filedata']['name'];
$targetFile = str_replace(" ", "", $targetFile);
move_uploaded_file($tempFile, $targetFile);
$wp_filetype = wp_check_filetype(basename($targetFile), null);
$attachment = array(
'post_mime_type' => $wp_filetype['type'],
'post_title' => preg_replace('/\.[^.]+$/', '', basename($targetFile)),
'post_content' => '',
'post_status' => 'inherit'
);
$result['attachmet_id'] = $attach_id = wp_insert_attachment($attachment, $targetFile);
$result['recieved_nonce'] = $nonce;
$attach_data = wp_generate_attachment_metadata($attach_id, $targetFile);
wp_update_attachment_metadata($attach_id, $attach_data);
$result['success'] = true;
} else {
$result['success'] = false;
$result['recieved_nounce'] = $nonce;
$result['error'] = array(
'message' => 'No files or you are not admin ' . $nonce,
'code' => 'E01'
);
}
echo json_encode($result);
exit;
}
add_action('wp_ajax_do_upload', 'gallery_upload_image');
: (gallery.js中)
console.debug("Nonce received ",param.nonce); //c4817b947a
私のAJAX呼び出しphpからdo_uploadアクションにアクセスします。 c4817b947a {「成功」::偽、「debugNonce」:」この1は、受信した結果は次のようになり
function gallery_upload_image()
{
$nonce = $_POST["nonce"];
if (wp_verify_nonce($nonce, 'file-upload-nonce')) {
/* some logic here, nothing to do with nonce */
$result['success'] = true;
$result['debugNonce'] = $nonce;
} // end validation
else {
//invalid nonce
$result['success'] = false;
$result['debugNonce'] = $nonce;
}
}
... (バックgallery.phpで)応答を受け取ったナンスフィールドを追加しますc4817b947a "}
最初のc4817b947aは、ノンス生成機能からのエコーが原因です。検証が行われる方法には影響しません。
私の結論は、wp_verify_nonceは常に失敗するということです。
私は、ローカルホスト上でwp 3.2.1、新規インストール、プラグインなしを使用しています。
set_transientで再生しているので、同じ問題が発生しています。どのように私はそれを取り除くだろうか? – niklas
私は同じ問題を抱えています。私がログインしていないとき(シークレットモードでウェブサイトを開くと)、検証が機能することに気付きました。私はこれを可能な限りの方法で探知し、成功していない問題を解決しようと努力しました。 check_ajax_refererも失敗します。また、私は新しいインストールを実行しており、ローカルとオンラインの両方のサーバーで試してみました。しかし、それだけで何年も働くことはできません...あなたは解決策を見つけましたか? –