例如,我修改了用于点击FB API的样板代码,以符合jslint。它看起来像这样:
(function () {
'use strict';
window.fbAsyncInit = function () {
FB.init({
appId: '1507519942878500',
xfbml: true,
version: 'v2.5'
});
};
var d = document,
id = 'facebook-jssdk',
js,
fjs = d.getElementsByTagName('script')[0];
if (d.getElementById(id)) {
return;
}
js = d.createElement('script');
js.id = id;
js.src = "//connect.facebook.net/en_US/sdk.js";
fjs.parentNode.insertBefore(js, fjs);
}());
</script>
我注意到使用我的应用的任何人现在都可以看到我的appId。这在任何方面都是安全风险吗?
答案 0 :(得分:2)
这是故意不存在风险,无法隐藏您的Facebook应用ID。
如果你的秘密暴露出来,这将是一个问题。
Facebook需要有一种方法可以链接回您的应用程序。 作为用户,如果我需要报告可疑活动,我还需要知道您的应用ID。
答案 1 :(得分:0)
如果问题是“这是否存在安全风险?”答案是肯定的,这可能在很多方面存在安全风险,但长话短说,你应该检查一下。它与fb sdk的最佳实践。
http://www.masteringapi.com/tutorials/facebook-javascript-sdk-best-practices/58/
为了将来的参考,你从任何你想要使用的api中使用的任何api密钥都应该隐藏在公众面前并保存为变量。如果您使用git,您可以将文件保存在您的api密钥位于gitignore中。