Context Navigation

-                      r3011727
+                      r3047618
     class RFWP_AdminPage
+    {
+        public const CSRF_ACTION = "rfwp_admin_page";
         public static function settingsMenuCreate() {
             global $wp_filesystem;
 …
                 'turboOptions' => RFWP_generateTurboRssUrls(),
                 'tab' => isset($_GET['tab']) ? $_GET['tab'] : null,
+                "_csrf" => wp_create_nonce(self::CSRF_ACTION),
             ];
 …
         public static function clickButtons() {
+            if (empty($_POST["_csrf"]) || !wp_verify_nonce($_POST["_csrf"], self::CSRF_ACTION))
+                return;
             global $wpPrefix;

realbig-media/trunk/realbigForWP.php

r3011727	r3047618
6	6	Plugin name: Realbig Media
7	7	Description: Плагин для монетизации от RealBig.media
8		Version: 1.0.6
	8	Version: 1.0.7
9	9	Author: Realbig Team
10	10	Author URI: https://realbig.media

-                      r2896400
+                      r3047618
 <?php
 $args = !empty($GLOBALS['rb_adminPage_args']) && !empty($GLOBALS['rb_adminPage_args']['cache']) ? $GLOBALS['rb_adminPage_args']['cache'] : [];
+$csrf = !empty($GLOBALS['rb_adminPage_args']) && !empty($GLOBALS['rb_adminPage_args']['_csrf']) ? $GLOBALS['rb_adminPage_args']['_csrf'] : '';
 ?>
 …
     <form method="post" class="ml-auto" name="cacheForm" id="cacheFormId">
+        <?php submit_button( 'Очистить кеш', 'primary', 'clearCache') ?></form>
+        <input type="hidden" name="_csrf" value="<?php echo $csrf ?>" />
+        <?php submit_button( 'Очистить кеш', 'primary', 'clearCache') ?>
+    </form>
 <?php else: ?>
     Нет закешированных блоков

-                      r2896400
+                      r3047618
     <form method="post" class="ml-auto" name="logsForm" id="logsFormId">
+        <?php submit_button( 'Очистить все логи', 'primary', 'clearLogs') ?></form>
+        <input type="hidden" name="_csrf" value="<?php echo $args['_csrf'] ?>" />
+        <?php submit_button( 'Очистить все логи', 'primary', 'clearLogs') ?>
+    </form>
 <?php else: ?>
     Нет логов на данном сайте
 …
             Включить сбор логов</label>
     </div>
+    <input type="hidden" name="_csrf" value="<?php echo $args['_csrf'] ?>" />
     <?php submit_button( 'Синхронизировать', 'primary', 'enableLogsButton' ) ?>
 </form>

r3011713	r3047618
37	37	<?php endif; ?>
38	38	<?php endif; ?>
	39
	40	<input type="hidden" name="_csrf" value="<?php echo $args['_csrf'] ?>" />
39	41	</form>
40	42

-                      r3011713
+                      r3047618
 if (empty(apply_filters('wp_doing_cron', defined('DOING_CRON') && DOING_CRON)) && !empty(is_admin())
     && wp_get_raw_referer() && !wp_get_referer()) {
+    if (!empty($curUserCan)&&!empty($_POST['saveTokenButton'])) {
+    if (!empty($curUserCan) && !empty($_POST['saveTokenButton']) &&
+            !empty($_POST["_csrf"]) && wp_verify_nonce($_POST["_csrf"], RFWP_AdminPage::CSRF_ACTION)) {
         if (!empty($_POST['kill_rb'])) {
             $saveVal = 2;

Note: See TracChangeset for help on using the changeset viewer.