2

Facebook 通过在所有 facebook.com 页面上支持 https,在防止窃听(使用 Firesheep 等工具)方面做得很好,但没有为第 3 方网站提供类似级别的安全性。

现在可以窃听来自使用 Facebook JS SDK 的第三方网站的流量,并获取用户签名的 fbsr_APP_ID cookie,网站应该使用该 cookie 来验证其用户。

有没有办法使用安全参数设置此 cookie,以便仅通过 HTTPS 连接传输?

我已经阅读了文档和 JavaScript SDK 源代码,这似乎是不可能的。因此,如果不可能,您会建议使用哪种其他身份验证方法来避免窃听此 cookie?

4

1 回答 1

0

我想我为赏金太迟了,但我很乐意接受“接受的答案”:)

如备注中所述,在FB.init您指定时,是否希望 facebook JS SDK 使用该cookies选项为您设置 cookie,甚至默认情况下似乎没有设置 cookie:https ://developers.facebook.com/docs/reference /javascript/FB.init/

然后使用您自己的 javascript 以您想要的任何方式存储 fbsr_APP_ID(安全 cookie、客户端存储等)。

于 2012-10-13T20:28:57.383 回答