核心安全机制：WordPress的`Nonce`是如何防止跨站请求伪造（CSRF）攻击的？ - 智猿学院-前后端，数据库，人工智能，云计算等领域前沿技术讲座

WordPress Nonce：抵御CSRF攻击的利器

大家好！今天我们要深入探讨WordPress中一个至关重要的安全机制：Nonce，以及它是如何有效防止跨站请求伪造（CSRF）攻击的。作为一名开发者，理解和正确使用Nonce对于构建安全可靠的WordPress应用至关重要。

什么是CSRF攻击？

在深入了解Nonce之前，我们先来了解一下CSRF攻击。CSRF（Cross-Site Request Forgery），即跨站请求伪造，是一种恶意攻击，攻击者诱使用户在已登录的状态下，向目标网站发起非用户本意的请求。

CSRF攻击的基本流程如下：

用户登录： 用户在目标网站（比如WordPress后台）登录，此时浏览器会存储用户的认证信息（通常是Cookie）。
恶意网站： 攻击者构造一个恶意网站，其中包含指向目标网站的请求。例如，一个修改用户密码的请求。
用户访问： 用户访问了恶意网站。
触发请求： 恶意网站通过HTML标签（如<img>、<form>）或JavaScript代码，自动向目标网站发送请求。
攻击成功： 由于用户已经登录目标网站，浏览器会自动携带认证信息（Cookie）发送请求。目标网站无法区分该请求是用户自愿发起的，还是被恶意网站伪造的，因此会执行该请求。

举例说明：

假设用户已经登录了WordPress后台，并访问了一个包含以下代码的恶意网站：

<img src="http://example.com/wp-admin/options.php?action=update&option_page=general&_wpnonce=INVALID_NONCE&blogname=EvilSite&submit=Save+Changes" width="0" height="0">

这段代码尝试修改WordPress站点的名称为“EvilSite”。如果没有适当的CSRF保护，浏览器会自动携带用户的登录信息发送这个请求，而WordPress后台很可能执行这个修改，导致攻击成功。

CSRF攻击的危害：

CSRF攻击可能导致各种严重的后果，包括：

更改用户密码
修改用户个人信息
发布恶意内容
执行未经授权的操作（例如购买商品、转账等）
提升恶意用户权限

Nonce的原理与作用

Nonce（Number used Once），即“一次性使用的数字”。在安全领域，Nonce是一个随机生成的、唯一的、不可预测的字符串，用于防止重放攻击和CSRF攻击。

在WordPress中，Nonce主要用于验证请求的合法性，确保请求是由用户自愿发起的，而不是被恶意网站伪造的。

Nonce的工作原理：

生成Nonce： 当需要保护某个操作时，WordPress会在服务器端生成一个Nonce值。这个Nonce值通常包含当前用户的ID、操作类型、时间戳等信息，并经过哈希算法处理。
嵌入Nonce： 将生成的Nonce值嵌入到HTML表单、URL或其他需要保护的请求中。
验证Nonce： 当请求到达服务器时，WordPress会验证请求中携带的Nonce值是否有效。验证过程包括：
- 检查Nonce值是否存在。
- 检查Nonce值是否过期。
- 根据用户ID、操作类型、时间戳等信息，重新生成Nonce值，并与请求中携带的Nonce值进行比较。
- 如果验证通过，则认为请求是合法的，否则拒绝请求。

Nonce的关键特性：

唯一性： 每个Nonce值都是唯一的，针对特定的用户、操作和时间段。
不可预测性： Nonce值是随机生成的，攻击者无法轻易预测或猜测。
时效性： Nonce值具有一定的有效期，过期后失效，防止重放攻击。

WordPress Nonce的实现细节

WordPress提供了几个函数来生成和验证Nonce。下面我们详细介绍这些函数的使用方法和内部实现。

1. 生成Nonce：wp_nonce_field()、wp_create_nonce() 和 wp_nonce_url()

wp_nonce_field( $action, $name, $referer, $echo )： 这是最常用的生成Nonce的函数，它主要用于在HTML表单中生成一个隐藏的Nonce字段。
- $action：一个字符串，表示要保护的操作的名称。
- $name：Nonce字段的名称，默认为_wpnonce。
- $referer：是否生成一个隐藏的Referer字段，用于验证请求的来源，默认为true。
- $echo：是否直接输出HTML代码，默认为true。
示例：
```
<form method="post" action="options.php">
    <?php wp_nonce_field( 'my_custom_action', 'my_nonce_field' ); ?>
    <input type="text" name="my_option" value="<?php echo esc_attr( get_option( 'my_option' ) ); ?>">
    <input type="submit" value="Save Changes">
</form>
```
这段代码会在表单中生成如下HTML代码：
```
<form method="post" action="options.php">
    <input type="hidden" id="my_nonce_field" name="my_nonce_field" value="YOUR_GENERATED_NONCE_VALUE">
    <input type="hidden" name="_wp_http_referer" value="/wp-admin/options-general.php?page=my-plugin">
    <input type="text" name="my_option" value="your_option_value">
    <input type="submit" value="Save Changes">
</form>
```
其中YOUR_GENERATED_NONCE_VALUE 是一个随机生成的字符串。 _wp_http_referer 字段包含了上一个页面的 URL，可以用于额外的安全检查。
wp_create_nonce( $action )： 这个函数只生成Nonce值，不输出任何HTML代码。
- $action：一个字符串，表示要保护的操作的名称。
示例：
```
$nonce = wp_create_nonce( 'my_custom_action' );
echo '<a href="?action=my_action&_wpnonce=' . $nonce . '">Do Something</a>';
```
这段代码会生成一个包含Nonce值的URL。
wp_nonce_url( $actionurl, $action, $name )： 这个函数将Nonce值添加到URL中。
- $actionurl：要添加Nonce的URL。
- $action：一个字符串，表示要保护的操作的名称。
- $name：Nonce参数的名称，默认为_wpnonce。
示例：
```
$url = wp_nonce_url( 'admin.php?page=my-plugin', 'my_custom_action' );
echo '<a href="' . $url . '">Do Something</a>';
```
这段代码会生成一个包含Nonce值的URL。

2. 验证Nonce：wp_verify_nonce() 和 check_admin_referer()

wp_verify_nonce( $nonce, $action )： 这个函数用于验证Nonce值是否有效。

$nonce：要验证的Nonce值。
$action：生成Nonce时使用的操作名称。

返回值：

1：Nonce值有效。
2：Nonce值已经过期。
false：Nonce值无效。

示例：

if ( isset( $_POST['my_nonce_field'] ) && wp_verify_nonce( $_POST['my_nonce_field'], 'my_custom_action' ) ) {
    // Nonce验证通过，执行操作
    update_option( 'my_option', $_POST['my_option'] );
    echo '<div class="updated"><p>Settings saved.</p></div>';
} else {
    // Nonce验证失败，显示错误信息
    echo '<div class="error"><p>Invalid nonce.</p></div>';
}

check_admin_referer( $action, $name )： 这个函数用于验证从管理界面发起的请求的Nonce值和Referer。
- $action：生成Nonce时使用的操作名称。
- $name：Nonce字段的名称，默认为_wpnonce。
返回值：
- 如果验证通过，函数不返回任何值。
- 如果验证失败，函数会调用wp_die()函数，显示错误信息并终止脚本执行。
示例：
```
if ( ! current_user_can( 'manage_options' ) ) {
    wp_die( 'You do not have sufficient permissions to access this page.' );
}

check_admin_referer( 'my_custom_action', 'my_nonce_field' );

// Nonce验证通过，执行操作
update_option( 'my_option', $_POST['my_option'] );
echo '<div class="updated"><p>Settings saved.</p></div>';
```

Nonce的内部实现：

WordPress的Nonce实现的核心在于wp_verify_nonce() 函数和 wp_create_nonce() 函数。让我们深入了解一下它们的内部实现。

wp_create_nonce( $action ) 函数：

function wp_create_nonce( $action = -1 ) {
    $user = wp_get_current_user();
    $uid = (int) $user->ID;
    if ( ! $uid ) {
        /** This filter is documented in wp-includes/pluggable.php */
        $uid = apply_filters( 'nonce_user_logged_out', $uid, $action );
    }

    $token = wp_get_session_token();
    $i = wp_nonce_tick();

    return substr( wp_hash( $i . '|' . $action . '|' . $uid . '|' . $token, 'nonce' ), -12, 10 );
}

该函数首先获取当前用户的ID，然后获取一个会话令牌（Session Token）。接着，它调用wp_nonce_tick()函数获取一个时间戳“tick”。最后，它将这些信息组合起来，使用wp_hash()函数进行哈希运算，并截取哈希值的最后10个字符作为Nonce值。

wp_nonce_tick() 函数：

function wp_nonce_tick() {
    /**
     * Filters the lifespan of nonces.
     *
     * @since 3.5.0
     *
     * @param int $lifespan Lifespan in seconds. Default 12 hours.
     */
    $nonce_life = apply_filters( 'nonce_life', DAY_IN_SECONDS / 2 );

    return ceil( time() / ( $nonce_life ) );
}

wp_nonce_tick() 函数返回一个基于当前时间的整数，它决定了Nonce的有效期。默认情况下，Nonce的有效期为12小时。这个函数通过将当前时间除以Nonce的有效期，然后向上取整，得到一个“tick”值。

wp_verify_nonce( $nonce, $action ) 函数：

function wp_verify_nonce( $nonce, $action = -1 ) {
    $nonce = (string) $nonce;
    $user = wp_get_current_user();
    $uid = (int) $user->ID;
    if ( ! $uid ) {
        /** This filter is documented in wp-includes/pluggable.php */
        $uid = apply_filters( 'nonce_user_logged_out', $uid, $action );
    }

    $token = wp_get_session_token();

    if ( empty( $nonce ) ) {
        return false;
    }

    $length = 10;

    if ( strlen( $nonce ) !== $length ) {
        return false;
    }

    $i = wp_nonce_tick();

    // Nonce generated 0-12 hours ago
    $expected = substr( wp_hash( $i . '|' . $action . '|' . $uid . '|' . $token, 'nonce' ), -12, $length );
    if ( hash_equals( $expected, $nonce ) ) {
        return 1;
    }

    // Nonce generated 12-24 hours ago
    $expected = substr( wp_hash( ( $i - 1 ) . '|' . $action . '|' . $uid . '|' . $token, 'nonce' ), -12, $length );
    if ( hash_equals( $expected, $nonce ) ) {
        return 2;
    }

    /**
     * Fires when a nonce verification fails.
     *
     * @since 4.4.0
     *
     * @param string     $nonce  The nonce attempted to be verified.
     * @param string|int $action The action that was used.
     * @param WP_User    $user   The user object.
     */
    do_action( 'wp_nonce_failed', $nonce, $action, $user );

    return false;
}

wp_verify_nonce() 函数首先获取当前用户的ID和会话令牌。然后，它计算当前“tick”值和前一个“tick”值对应的Nonce值，并将它们与请求中携带的Nonce值进行比较。如果其中一个Nonce值匹配，则认为Nonce验证通过。该函数会检查当前tick 和前一个tick 的 nonce，从而允许一定的时间窗口。默认情况下，这个窗口是 12 小时。

总结：

函数名	功能	适用场景
`wp_nonce_field()`	生成一个包含Nonce值的隐藏字段，并将其添加到HTML表单中。	用于保护HTML表单提交的操作。
`wp_create_nonce()`	生成一个Nonce值，但不输出任何HTML代码。	用于生成需要在URL或其他地方使用的Nonce值。
`wp_nonce_url()`	将Nonce值添加到URL中。	用于生成包含Nonce值的URL，例如用于AJAX请求或链接。
`wp_verify_nonce()`	验证Nonce值是否有效。	用于验证请求中携带的Nonce值，以确保请求的合法性。
`check_admin_referer()`	验证从管理界面发起的请求的Nonce值和Referer。如果验证失败，函数会调用`wp_die()`函数，显示错误信息并终止脚本执行。	用于保护WordPress后台管理界面的操作。

如何正确使用Nonce来防止CSRF攻击

要有效地利用Nonce来防止CSRF攻击，需要遵循以下最佳实践：

为每个操作生成唯一的Nonce： 不同的操作应该使用不同的$action值来生成Nonce，以防止攻击者将一个操作的Nonce值用于另一个操作。例如，修改用户密码和修改文章内容应该使用不同的$action值。
在所有表单和URL中都使用Nonce： 确保所有需要保护的表单和URL都包含有效的Nonce值。这包括POST请求、GET请求和AJAX请求。
验证所有请求的Nonce： 在处理任何请求之前，都应该验证请求中携带的Nonce值是否有效。使用wp_verify_nonce() 或 check_admin_referer() 函数来验证Nonce值。
使用HTTPS： 使用HTTPS可以加密客户端和服务器之间的通信，防止攻击者窃取Nonce值。
定期更新WordPress和插件： 保持WordPress和插件的最新版本，可以确保你使用的是最新的安全补丁，防止已知的漏洞被利用。
合理设置Nonce的有效期： 默认情况下，WordPress Nonce的有效期为12小时。您可以通过nonce_life 过滤器来修改Nonce的有效期。但是，需要根据实际情况权衡安全性和用户体验。过短的有效期可能会导致用户频繁刷新页面，而过长的有效期可能会增加Nonce被攻击者利用的风险。
防止信息泄露： 确保Nonce值不会泄露给未经授权的用户。例如，不要将Nonce值存储在客户端的Cookie中，或者在公共的JavaScript代码中暴露Nonce值。

示例：保护一个AJAX请求

jQuery(document).ready(function($) {
    $('#my-button').click(function() {
        var data = {
            'action': 'my_ajax_action',
            'security': '<?php echo wp_create_nonce( "my_ajax_action" ); ?>',
            'some_data': 'some value'
        };

        $.post(ajaxurl, data, function(response) {
            alert('Got this from the server: ' + response);
        });

        return false;
    });
});

在PHP代码中处理AJAX请求：

add_action( 'wp_ajax_my_ajax_action', 'my_ajax_callback' );

function my_ajax_callback() {
    check_ajax_referer( 'my_ajax_action', 'security' );

    $some_data = $_POST['some_data'];

    // Do something with the data
    $response = 'Data received: ' . $some_data;

    wp_send_json_success( $response );
}

在这个例子中，我们使用wp_create_nonce()函数生成一个Nonce值，并将其传递给JavaScript代码。然后，JavaScript代码将Nonce值作为security参数发送到服务器。在服务器端，我们使用check_ajax_referer()函数验证Nonce值，以确保请求的合法性。

Nonce的局限性与补充安全措施

虽然Nonce是一种有效的CSRF防御机制，但它并非万无一失。 Nonce存在以下局限性：

依赖于服务器端状态： Nonce的验证依赖于服务器端的状态，如果服务器端的状态丢失（例如，由于服务器重启或缓存失效），则Nonce验证可能会失败。
不能防止XSS攻击： Nonce只能防止CSRF攻击，不能防止XSS（Cross-Site Scripting）攻击。如果网站存在XSS漏洞，攻击者可以通过注入恶意脚本来窃取用户的Cookie，并伪造用户的请求。
实施不当可能失效： 如果开发者没有正确使用Nonce，例如，没有为每个操作生成唯一的Nonce，或者没有验证所有请求的Nonce，则Nonce可能无法有效地防止CSRF攻击。

为了增强网站的安全性，除了使用Nonce之外，还应该采取以下补充安全措施：

使用HTTPS： 使用HTTPS可以加密客户端和服务器之间的通信，防止攻击者窃取用户的Cookie和Nonce值。
实施输入验证和输出编码： 对所有用户输入进行验证，并对所有输出进行编码，以防止XSS攻击。
使用Content Security Policy (CSP)： CSP是一种安全策略，可以限制浏览器可以加载的资源，从而减少XSS攻击的风险。
定期进行安全审计： 定期对网站进行安全审计，以发现和修复潜在的安全漏洞。
使用双重验证 (Two-Factor Authentication, 2FA)： 为用户账户启用双重验证，可以增加账户的安全性，即使攻击者窃取了用户的密码，也无法登录用户的账户。
限制Cookie的访问权限： 设置Cookie的HttpOnly 属性，可以防止JavaScript代码访问Cookie，从而减少XSS攻击的风险。设置Cookie的Secure 属性，可以确保Cookie只能通过HTTPS连接传输。

总结：Nonce是Web应用安全的重要组成部分

总而言之，WordPress Nonce是一种简单而有效的CSRF防御机制，它通过在请求中添加一个随机的、唯一的、不可预测的字符串，来验证请求的合法性。正确使用Nonce可以有效地防止CSRF攻击，保护WordPress网站的安全。但是，Nonce并非万无一失，为了增强网站的安全性，还应该采取其他补充安全措施。