1

我看过这篇文章: 在 Firefox 插件中验证 facebook 用户, 并且在第三条评论中有人说,无法将 facebook sdk 加载到 Firefox 扩展中。但为什么?

4

1 回答 1

1

Facebook 提供的 JavaScript SDK 依赖于connect.facebook.com插入网页的脚本。但是,当您是扩展程序时,您没有网页来加载此脚本 - 您有扩展程序页面。这些扩展页面是特权的,将脚本加载到其中将授予该脚本执行诸如读取用户磁盘驱动器上的文件(或简单地对其进行格式化)之类的操作的权限。即使 Facebook 被认为是受信任的站点,在某个远程服务器上使用脚本执行此操作也是一个相当大的安全风险——它的服务器可能会被黑客入侵,或者流量可能会被拦截和修改。然后,攻击者基本上可以接管用户的计算机。

理论上,为 Facebook SDK 获取非特权上下文是可能的。但是实际上这已经足够复杂了,以至于我怀疑是否有人做过(应用 ID 绑定到特定主机名的事实使情况更加复杂)。

于 2012-05-18T17:57:39.237 回答