我编写了一个JS脚本,允许用户从他们的Facebook个人资料中选择一张照片进行打印。当他们选择图像并提交表单时,它会传递一个链接到我的php脚本,然后复制它(我假设使用访问令牌进行许可)。
我的应用尚未公开。
FB API返回图像的链接。该链接采用以下形式:http://fbcdn-sphotos-g-a.akamaihd.net/hphotos-ak-xaf1/t1.0-9/1926883_746836342049730_5714653518291139956_n.jpg(请注意,这是一张私人照片,据说只能查看)。
我认为如果这些照片是私密的,我需要访问令牌才能访问这些照片。但是,我进入了chrome的隐身模式和IE,它们都没有登录我的FB帐户,我可以看到这张“私人”照片。这是否意味着只要我有链接,我就不需要访问令牌?
我不认为这是FB照片中的另一个安全漏洞,因为除了具有照片权限的应用程序外,其他任何地方都无法使用此链接。
我想知道的是,如果我需要在此过程中的某处使用访问令牌来“获取”图像,或者我只需要使用该链接。这将决定我是否需要在我的服务器上使用facebook php库,或者我是否只能使用JS SDK。
为了澄清,我想知道我是否需要访问令牌来从Facebook服务器检索私人图像,或者链接是否充足。
答案 0 :(得分:2)
这不是安全漏洞。您可以在http://www.quora.com/Facebook-product/Are-Facebook-pictures-really-private-and-are-they-hosted-on-Facebook-servers链接https://www.facebook.com/whitehat"从我们的CDN(内容分发网络)通过原始图片网址访问照片时阅读相关内容。我们的一位工程师在这里解释了更多细节"
