我注意到幾個以不安全的方式處理signed_request的FB應用程序。 F.ex我從頁面標籤加載應用程序,FB將signed_request發佈到應用程序。然後,應用程序將我進一步重定向到他們的網站,將signed_request作爲get變量傳遞。signed_request的處理不安全
從理論上講,它至少沒有那麼安全,Facebook已經提出了關於如何處理signed_requests的指導方針/規則,或者應用程序是否可以自由地做他們想做的事情?
F.ex我從一個頁面標籤中加載應用程序,FB將signed_request發佈到應用程序。然後,應用程序將我進一步重定向到他們的網站,將signed_request作爲get變量傳遞。
通過GET傳遞它本身並不是有害的,只要你沒有在你的頁面中嵌入外部資源(因爲這些資源可能會被轉移爲HTTP引用)。
但我沒有看到任何真正的理由來傳遞signed_request參數 - 一旦它被解碼和驗證,我把它放入我的會話並有權訪問它,只要我想要。
從理論上講這是ATLEAST不太安全,擁有Facebook推出了有關如何處理signed_requests或可以自由地做任何他們想要的應用程序的任何指引/規則?
處理令牌是你的責任 - 如果你這樣做是因爲它被盜取並被誤用於垃圾郵件,FB很可能會阻止你的應用。