我注意到有几个FB应用程序以不安全的方式处理signed_request。 F.ex我从页面选项卡加载应用程序,FB将signed_request发布到应用程序。然后,应用程序将我进一步重定向到他们的站点,将signed_request作为get变量传递。
从理论上讲,它至少不那么安全,Facebook是否就如何处理signed_requests提出了任何指导方针/规则,或者应用程序可以随意做任何他们想做的事情?
答案 0 :(得分:0)
F.ex我从页面标签加载应用程序,FB将signed_request发布到应用程序。然后,应用程序将我进一步重定向到他们的站点,将signed_request作为get变量传递。
通过GET传递它本身并不是有害的 - 只要你没有将任何外部资源嵌入你的页面(因为那些可能会将它作为HTTP referer传输)。
但我没有看到传递signed_request参数的任何真正理由 - 一旦解码并验证,我就把它放入我的会话中并随时访问它。
从理论上讲,它至少不那么安全,Facebook是否就如何处理signed_requests提出了任何指导方针/规则,或者应用程序可以随意做任何他们想做的事情?
处理令牌是您的责任 - 如果您以被盗的方式进行处理并被滥用于垃圾邮件,FB很可能会阻止您的应用。