Facebook 通过在所有 facebook.com 页面上支持 https,在防止窃听(使用 Firesheep 等工具)方面做得很好,但没有为第 3 方网站提供类似级别的安全性。
现在可以窃听来自使用 Facebook JS SDK 的第三方网站的流量,并获取用户签名的 fbsr_APP_ID cookie,网站应该使用该 cookie 来验证其用户。
有没有办法使用安全参数设置此 cookie,以便仅通过 HTTPS 连接传输?
我已经阅读了文档和 JavaScript SDK 源代码,这似乎是不可能的。因此,如果不可能,您会建议使用哪种其他身份验证方法来避免窃听此 cookie?