Я понимаю как работает wp_nonce, при отправке формы, на основании неких переменных генерируется токен:
substr( wp_hash( $i . '|' . $action . '|' . $uid . '|' . $token, 'nonce' ), -12, 10 )
Потом после отправки формы он проверяется сервером:
hash_equals( $expected, $nonce );
Но блин в чем смысл? Если мы можем посмотреть на сгенерированный в форме токен и отправить его вместе со своей "левой" формой и данными? По идее, эти токены должны быть одноразовыми, в вордпрессе насколько я понял из кода, они не являются одноразовыми, а просто действительны в течение некоторого времени. Но даже если сделать их одноразовыми, можно ведь просто открыть форму, посмотреть токен, не отправлять оригинальную форму а отправить нужную вам, с текущим токеном, таким образом он один раз всего используется. Я чего-то не понимаю?
Средний