我目前正在實施Javascript Facebook登錄API。如何驗證請求是否來自您網站上的腳本?
該客戶端腳本基於來自Facebook的回調響應,然後向我們網站上的URL發送帶查詢字符串參數的請求。根據該URL中的電子郵件,客戶端已通過身份驗證。
這不安全。沒有其他的我們可以驗證的令牌是從Facebook返回的(據我所知),並且我們希望根據查詢字符串參數中的電子郵件登錄用戶,並且沒有密碼。
我想添加另一個查詢字符串參數,該參數爲我們提供了一些確保查詢字符串數據來自Facebook之後的JavaScript重定向的響應。
我在想這應該是某種客戶端腳本創建的散列值,我可以在服務器端進行比較。但是,用於創建此密鑰的每個資源都可供攻擊者,客戶端cookie或客戶端腳本檢查。
有沒有一種常見的安全方法來解決這個問題,我可以使用?