我创建了一个Facebook App ID并将站点URL设置为“localhost”,以便在通过身份验证(通过客户端JavaScript)后,在我开发应用程序时,我被重定向到我的本地计算机。
我很想知道此设置是否存在任何风险,具体而言,如果我的App ID被盗,会发生什么。可能发生的最糟糕的事情似乎是其他人可以将我的App ID与他们自己的本地托管应用程序一起使用,并导致我的应用程序超出其Graph API使用配额等。还有其他风险吗?
答案 0 :(得分:3)
你不应该担心。
可以从使用facebook JS SDK的任何网站轻松检索Facebook App ID。
您应该担心的是 - app secret key
答案 1 :(得分:0)
我也认为这是冒险的,不是因为localhost问题(你可以将它更改为其他东西,比如mylocal.develop,将它映射到/ etc / hosts中,并像我一样在Facebook上进行授权。它的工作原理。 ),但是对于标头伪造(https://en.wikipedia.org/wiki/IP_address_spoofing)的IP欺骗或域欺骗
不确定是否可以避免强制在Facebook或类似的情况下强制ssl模式。