Facebook JavaScript SDK guide包含一个示例代码,用于集成特定应用程序的Facebook登录和授权。提供给此脚本的唯一信息是App ID。
让我们说用户授权我的应用程序访问他的私人数据。现在,是什么阻止其他人使用我的应用程序ID和JavaScript在他的自己的应用程序上放置Facebook登录表单,使其看起来像来自我的域并访问此用户& #39;私人数据?
浏览器是否为此主题提供了足够的安全性?
答案 0 :(得分:1)
当SDK将用户重定向到Facebook时,Facebook的服务器会重定向回您的网站。重定向URL由您在Facebook开发人员中心的应用程序设置中设置。如果有人窃取您的App ID并将其放入他的网站,他的所有用户都将被重定向到您的网站。
答案 1 :(得分:1)
现在,是什么阻止其他人使用我的App ID和JavaScript将Facebook登录表单放在他自己的应用程序上,使其看起来像来自我的域并访问该用户的私人数据?
浏览器是否为此主题提供了足够的安全性?
与浏览器无关,真的。 Facebook只会将数据传回developer console中列入白名单的应用领域内的域名。