我有my_app只能作为facebook画布应用程序访问,我正在寻找一个可靠的测试,my_app将在加载阶段执行以验证它是否被加载到facebook iframe中。
在合法的facebook iframe中,$ _REQUEST [“signed_request”]是可读的。但我想知道是否有其他网页可能会尝试加载my_app并发送假的'signed_request'。
答案 0 :(得分:0)
使用特定于您应用的密钥对已签名的请求进行签名。除非有人设法从FB服务器窃取了该密钥,并且您确认签名的请求有效(使用parse_signed_request),否则您应该是安全的。