我正在創建一個Facebook應用程序。 Facebook在iframe中顯示應用視圖,並在POST參數中爲其提供signed_request。signed_request是否安全?
如果有人獲得他人的signed_request字符串,他可以將其發佈到應用程序。
curl -F "signed_request=CCuTU8c2…NjMwOTMxIn0" https://app.mydomain.xx/
Signed_request是篡改。另一方面,應用程序接受沒有鍛鍊的數據。
Facebook應用程序應該檢查一些東西嗎?例如,issued_at的值。我不知道如何處理signed_request。 Facebook的PHP SDK將其設置爲cookie。沒關係?
謝謝!我很抱歉我的反應慢。 我的同事也說我太擔心了。 – Shinya 2012-06-15 03:25:56