0
在處理據稱由Facebook發送的signed_request時,我應該檢查引用者主機嗎?據我所知,這隻會在secret key受到威脅時有用。處理signed_request。我應該檢查推薦人嗎?
看起來好像所有的signed_requests都是從86.29.235.94寄出的。但它也可能是地區性的。
A
回答
1
不,引用者是不可預測的。目前沒有明確的規則,可能會有所變化。另外,一些用戶代理甚至不發送一個。
不幸的是,signed_request方案不允許數據機密性(通過加密)或源完整性,但是您確實獲得了數據完整性,所以您至少可以確信Facebook有時會生成有效的signed_request。爲了驗證,你只需要檢查簽名。這並不能保證你不會成爲重播攻擊的受害者,但我不認爲有人曾經解決過這個問題。
您可能可以使用「issued_at」屬性做一些事情,但我沒有足夠的測試知道它是否可以在所有請求中正常工作。
1
如果您的應用程序的祕密被泄露,接收非法signed_request可能是你最擔心
攻擊者也必須要得到有效的訪問令牌的保持對於應用的用戶之一,以便爲注入一個signed_request來授予他們對你的應用程序的訪問權限,不是嗎?
相關問題
- 1. 檢查PHP中的推薦人
- 2. 我可以得到推薦人嗎?
- 3. 應該檢查並處理未經檢查的異常嗎?
- 4. Spring批處理推薦
- 5. 哪個開源推薦系統,我應該選擇來處理大數據集
- 6. 我應該從EventLogReader中處理EventRecords嗎?
- 7. 我應該使用異步處理嗎?
- 8. 拼寫檢查推薦
- 9. 我應該處理
- 10. 我應該依靠髒檢查嗎?
- 11. 我應該檢查WebOperationContext.Current爲空嗎?
- 12. 我應該檢查* .mo文件嗎?
- 13. 你能推薦我一個json查看器應用程序嗎?
- 14. 我們應該在Java中處理未經檢查的異常嗎?
- 15. PHP POST推薦人
- 16. 我應該處理/處理這些異常嗎?
- 17. 不推薦使用offline_access - 處理非人工訪問
- 18. 我應該如何處理Spring的JavaConfig中的檢查異常?
- 19. signed_request的處理不安全
- 20. 基於域名的Javascript推薦人檢查
- 21. python異常處理程序推薦包
- 22. 針對aws的批處理推薦
- 23. NpgSqlCopyIn推薦的錯誤處理
- 24. 我應該處理FileUpload.PostedFile.InputStream?
- 25. 我應該處理的XmlNodeList
- 26. Apache Mahout - 我應該使用它來構建自定義推薦器嗎?
- 27. 我應該先推或拉嗎?
- 28. Mahout「反向」推薦人
- 29. Mahout - 推薦給某種人
- 30. 編輯推薦人數據
你說得對。 'access_token'是另一個節目。那麼,沒有太多需要擔心引用主機。 – Gajus 2012-03-14 15:07:36
(所以當然,不要讓任何人獲得應用程序的祕密) – Igy 2012-03-14 15:14:53