一些其他开发人员如何获取我们的应用程序机密并使用它来执行禁止我们的用户使用我们的应用程序的HTTPS/API禁止请求。
他是如何获得我们只在位于服务器上的 config.php 文件中列出的密钥的。我们在服务器上找不到任何漏洞,并且 config.php 不可读或显示在任何地方。
Facebook 提供的白名单设置会阻止黑客/开发人员禁止,还是仅阻止对应用设置的更改?
问问题
172 次
1 回答
0
我建议您重置您目前使用的 App Secret,以便您可以生成一个新的并限制损坏程度。
您可以Server IP Whitelist根据文档建议使用 which
我们还允许您将 API 调用限制为来自一组白名单服务器。您可以通过转到应用程序仪表板中开发人员设置的高级部分并设置“服务器白名单”字段来设置此白名单。
并且您可以进一步利用Update Settings IP Whitelist来限制对您应用程序设置的更改。引用文档,
我们允许您指定必须用于更新应用程序设置的 IP 地址白名单。这有助于通过确保只有使用公司 IP 地址的开发人员才能更新设置来防止攻击。
于 2013-05-13T05:37:29.307 回答