WordPress wp_nonce_field生成与验证机制在防跨站攻击中的实现原理

WordPress Nonce：保护你的站点免受跨站请求伪造 (CSRF) 攻击

大家好！今天我们来深入探讨 WordPress 的一个重要安全特性：Nonce，以及它如何帮助我们抵御跨站请求伪造 (CSRF) 攻击。我们将详细分析 wp_nonce_field 函数的生成与验证机制，并通过代码示例展示其工作原理。

什么是 CSRF 攻击？

在了解 Nonce 之前，我们需要先理解 CSRF 攻击。CSRF 攻击，全称 Cross-Site Request Forgery（跨站请求伪造），是一种恶意攻击，攻击者诱骗用户在已登录的 Web 应用程序上执行非用户本意的操作。

简单来说，假设你登录了银行网站，正在浏览你的账户。攻击者发送给你一封包含恶意链接的邮件。当你点击这个链接时，浏览器会向银行网站发送一个请求，例如“从你的账户转账 1000 元到攻击者的账户”。由于你已经登录了银行网站，浏览器会自动附带你的身份验证信息（例如 Cookie），银行网站无法区分这个请求是你自己发起的，还是攻击者伪造的。结果就是，你的账户被盗取了。

WordPress Nonce 的作用

WordPress Nonce 的核心作用就是 验证请求的来源。它是一个一次性的、与用户会话和特定操作相关的安全令牌。通过在表单或 URL 中包含 Nonce，WordPress 可以验证请求是否来自合法的用户操作，而不是来自恶意站点或脚本。

Nonce 的全称是 "Number used ONCE"，强调其一次性的特性。每个 Nonce 仅用于一个特定的操作，并且在一段时间后失效。

wp_nonce_field() 函数详解

wp_nonce_field() 是一个 WordPress 函数，用于在 HTML 表单中生成一个隐藏的 Nonce 字段。它的基本语法如下：

<?php wp_nonce_field( $action, $name, $referer, $echo ); ?>

参数说明：

• $action (string): 一个字符串，用于定义 Nonce 的用途。例如，'edit_post'、'delete_post' 等。 这是 Nonce 安全性的关键，必须根据不同的操作设置不同的 action。
• $name (string): (可选) HTML 表单字段的名称。默认为 '_wpnonce'。
• $referer (bool): (可选) 是否生成一个隐藏的 referer 字段。默认为 true。
• $echo (bool): (可选) 是否直接输出 HTML 字段。默认为 true。如果设置为 false，则返回 HTML 字符串。

代码示例：

<form action="options.php" method="post">
    <?php settings_fields( 'my_plugin_options' ); ?>
    <?php do_settings_sections( 'my_plugin' ); ?>
    <?php submit_button( 'Save Changes' ); ?>
    <?php wp_nonce_field( 'my_plugin_options_update', 'my_plugin_nonce' ); ?>
</form>

这段代码会在表单中生成一个类似这样的 HTML 字段：

<input type="hidden" id="my_plugin_nonce" name="my_plugin_nonce" value="b7e5a2f9c1" />

value 属性中的字符串 b7e5a2f9c1 就是 Nonce 值。 name 属性的值是 my_plugin_nonce，这允许我们在处理表单提交时通过 $_POST['my_plugin_nonce'] 获取该值。

Nonce 的生成原理

Nonce 的生成过程涉及以下几个关键要素：

1. Action: 正如前面提到的，$action 参数定义了 Nonce 的用途。
2. User ID: 当前登录用户的 ID。
3. Tick: 一个基于时间戳的变量，用于使 Nonce 在一段时间后失效。WordPress 使用 wp_nonce_tick() 函数计算 Tick 值。
4. Secret Key: WordPress 使用一个密钥来加密 Nonce，防止被篡改。这个密钥存储在 wp-config.php 文件中，包括 AUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY 和 NONCE_KEY 等。

Nonce 的生成算法大致如下：

nonce = wp_hash( tick . action . user_id, 10, nonce_salt )

其中：

• wp_hash(): WordPress 的哈希函数，用于生成 Nonce 值。
• tick: 由 wp_nonce_tick() 函数返回的时间戳相关的值。
• action: 传入 wp_nonce_field() 的 $action 参数。
• user_id: 当前登录用户的 ID。
• nonce_salt: 基于 WordPress 密钥生成的盐值，用于增加 Nonce 的安全性。

wp_nonce_tick() 函数的实现如下：

function wp_nonce_tick() {
    /**
     * Filters the lifespan of nonces.
     *
     * @since 4.5.0
     *
     * @param int $lifespan Nonce lifespan in seconds.
     */
    $nonce_life = apply_filters( 'nonce_life', DAY_IN_SECONDS );

    return ceil( time() / ( $nonce_life / 2 ) );
}

默认情况下，Nonce 的有效期是 1 天 (DAY_IN_SECONDS)。wp_nonce_tick() 函数将当前时间戳除以 Nonce 有效期的一半，然后向上取整。这意味着 Nonce 会在有效期的一半时发生变化。

总结一下 Nonce 生成过程：

步骤	描述
1	获取 Action: 从 wp_nonce_field() 函数的 $action 参数获取 Nonce 的用途。
2	获取 User ID: 获取当前登录用户的 ID。如果用户未登录，则使用 0 作为 User ID。
3	计算 Tick: 调用 wp_nonce_tick() 函数计算 Tick 值。
4	生成 Nonce Salt: 基于 WordPress 密钥（例如 NONCE_KEY）生成盐值。
5	计算 Nonce Hash: 使用 wp_hash() 函数，将 Tick、Action、User ID 和 Nonce Salt 组合在一起，生成 Nonce 的哈希值。
6	输出 Nonce 字段: 将 Nonce 哈希值作为 HTML 表单中的隐藏字段的值输出。

Nonce 的验证原理

当表单被提交时，我们需要验证 Nonce 的有效性。WordPress 提供了 wp_verify_nonce() 函数来完成这个任务。

<?php
$result = wp_verify_nonce( $nonce, $action );

if ( $result ) {
    // Nonce is valid.
} else {
    // Nonce is invalid.
}
?>

参数说明：

• $nonce (string): 要验证的 Nonce 值，通常从 $_POST 或 $_GET 数组中获取。
• $action (string): 生成 Nonce 时使用的 $action 参数。必须与生成 Nonce 时使用的 Action 相同。

wp_verify_nonce() 函数的返回值：

• 1: Nonce 在有效期内。
• 2: Nonce 已经过期，但仍然在半个有效期内。这允许在客户端和服务器时间稍微不同步的情况下仍然验证 Nonce。
• false: Nonce 无效。

代码示例：

if ( isset( $_POST['my_plugin_nonce'] ) ) {
    if ( wp_verify_nonce( $_POST['my_plugin_nonce'], 'my_plugin_options_update' ) ) {
        // Nonce is valid, process the form data.
        // ...
    } else {
        // Nonce is invalid, display an error message.
        wp_die( 'Security check failed.' );
    }
} else {
    // Nonce field is missing, display an error message.
    wp_die( 'Security check failed.' );
}

wp_verify_nonce() 函数的内部实现大致如下：

1. 获取 Nonce 值： 从 $_POST 或 $_GET 数组中获取 Nonce 值。

2. 重新计算 Nonce： 使用与生成 Nonce 时相同的 Action、User ID 和 Tick 值，重新计算 Nonce 的哈希值。

3. 比较 Nonce： 将从请求中获取的 Nonce 值与重新计算的 Nonce 值进行比较。

4. 验证有效期： 如果 Nonce 值匹配，则检查 Nonce 是否在有效期内。由于 wp_nonce_tick() 函数会随着时间变化，因此需要检查当前 Tick 值和上一个 Tick 值对应的 Nonce 是否都有效。

5. 返回结果： 如果 Nonce 值匹配并且在有效期内，则返回 1 或 2（如果 Nonce 已经过期，但仍然在半个有效期内）。否则，返回 false。

更详细的伪代码:

function wp_verify_nonce( $nonce, $action ) {
  // 1. 检查 nonce 是否为空
  if ( empty( $nonce ) ) {
    return false;
  }

  // 2. 获取当前 user_id
  $user_id = get_current_user_id();

  // 3. 获取当前的 tick 值
  $tick = wp_nonce_tick();

  // 4. 根据 action, user_id, tick 计算 nonce
  $expected = wp_hash( $tick . $action . $user_id, 10, nonce_salt );

  // 5. 比较传入的 nonce 和计算出的 nonce
  if ( hash_equals( $expected, $nonce ) ) { //使用hash_equals防止时序攻击
    return 1; // 验证成功
  }

  // 6. 如果验证失败, 尝试使用前一个 tick 值计算 nonce
  $tick--;
  $expected = wp_hash( $tick . $action . $user_id, 10, nonce_salt );
  if ( hash_equals( $expected, $nonce ) ) {
    return 2; // 验证成功, 但 nonce 已过期一半时间
  }

  // 7. 验证失败
  return false;
}

为什么要使用 hash_equals 函数？

hash_equals 函数是一个 PHP 函数，用于比较两个哈希字符串，目的是防止时序攻击（Timing Attack）。

时序攻击是一种侧信道攻击，攻击者通过测量比较两个字符串所需的时间来推断字符串的内容。如果使用简单的 == 运算符比较两个字符串，攻击者可以根据比较的时间来确定两个字符串有多少个字符是相同的。

hash_equals 函数通过执行固定时间的比较来防止时序攻击。无论两个字符串是否相等，hash_equals 函数都会花费相同的时间来完成比较，从而阻止攻击者获取有关字符串内容的任何信息。

Nonce 的最佳实践

• 为每个操作使用不同的 Action： $action 参数是 Nonce 安全性的关键。为每个不同的操作使用不同的 Action，可以防止攻击者将 Nonce 用于未经授权的操作。
• 始终验证 Nonce： 在处理任何表单提交或 URL 请求之前，始终验证 Nonce 的有效性。
• 正确处理验证失败的情况： 如果 Nonce 验证失败，不要执行任何操作，并向用户显示错误消息。
• 使用 HTTPS： 使用 HTTPS 可以加密 Nonce，防止被中间人截获。
• 定期更新 WordPress： WordPress 会定期发布安全更新，其中可能包含对 Nonce 机制的改进。

Nonce 和 Referer 的区别

有些人可能会将 Nonce 与 HTTP Referer 混淆。虽然 Referer 也可以用来验证请求的来源，但它不如 Nonce 可靠。

• Referer: Referer 是 HTTP 请求头中的一个字段，指示发起请求的页面的 URL。攻击者可以很容易地伪造 Referer。
• Nonce: Nonce 是一个加密的安全令牌，与用户会话和特定操作相关。攻击者无法轻易伪造 Nonce。

因此，Nonce 比 Referer 更安全，更可靠。

Nonce 在 REST API 中的应用

WordPress REST API 也可以使用 Nonce 来进行身份验证和授权。可以使用 wp_create_nonce() 函数生成 Nonce，并通过 API 请求头或查询参数传递 Nonce。

代码示例：

生成 Nonce：

$nonce = wp_create_nonce( 'wp_rest' );

将 Nonce 添加到 API 请求头：

X-WP-Nonce: <?php echo $nonce; ?>

在 REST API 端点验证 Nonce：

add_action( 'rest_api_init', function () {
  register_rest_route( 'myplugin/v1', '/data/', array(
    'methods'  => 'GET',
    'callback' => 'my_awesome_func',
    'permission_callback' => function ( $request ) {
      return wp_verify_nonce( $request->get_header( 'X-WP-Nonce' ), 'wp_rest' );
    }
  ) );
});

Nonce 的局限性

尽管 Nonce 是一个强大的安全工具，但它并非万能的。Nonce 只能防止 CSRF 攻击，而不能防止其他类型的攻击，例如 XSS 攻击。因此，在使用 Nonce 的同时，还需要采取其他安全措施来保护你的 WordPress 站点。

Nonce 只是众多安全措施中的一个环节

Nonce 是 WordPress 中用于防御 CSRF 攻击的重要机制。它通过生成和验证一次性令牌来确保请求的合法性，防止恶意站点伪造用户请求。了解 Nonce 的生成和验证原理，以及如何在实践中正确使用它，对于保护你的 WordPress 站点至关重要。但不要忘记，安全是一个多层次的问题，除了 Nonce 之外，还应该采取其他安全措施，例如使用 HTTPS、定期更新 WordPress 和插件、以及注意代码安全，共同构建一个安全的 Web 环境。