我注意到几个 FB 应用程序以不安全的方式处理 signed_request。F.ex 我从页面选项卡加载应用程序,FB 将 signed_request 发布到应用程序。然后,该应用程序将我进一步重定向到他们的站点,将 signed_request 作为 get 变量传递。
从理论上讲,它至少不那么安全,Facebook 是否发布了有关如何处理签名请求的任何指南/规则,或者应用程序是否可以自由地做任何他们想做的事情?
问问题
33 次
1 回答
0
F.ex 我从页面选项卡加载应用程序,FB 将 signed_request 发布到应用程序。然后,该应用程序将我进一步重定向到他们的站点,将 signed_request 作为 get 变量传递。
通过 GET 传递它本身并没有害处——只要您没有将外部资源嵌入到您的页面中(因为这些资源很可能会将其作为 HTTP 引用者传输)。
但是我看不出有任何真正的理由来传递signed_request 参数——一旦它被解码和验证,我就将它放入我的会话中,并且可以随时访问它。
从理论上讲,它至少不那么安全,Facebook 是否发布了有关如何处理签名请求的任何指南/规则,或者应用程序是否可以自由地做任何他们想做的事情?
处理令牌是你的责任——如果你这样做的方式是它被盗并被滥用于垃圾邮件,FB 很可能会阻止你的应用程序。
于 2013-03-13T13:05:17.370 回答