很抱歉,如果这个问题对于这个论坛来说太基本了,但是我已经在脑海里玩了一段时间,所以我试了一下。我使用了IMDB app_id和一个欺骗性网址,图像等,它返回时显示一条错误消息,说我不允许这样做。好。用我的App ID尝试了同样的事情,它顺利航行!欺骗墙发布似乎来自我的应用程序!绝对可以!色情,网络钓鱼攻击,你的名字!
所以我的问题是我错过了什么。为什么只允许IMDB使用他们的App ID,但任何Tom,Dick或Harry都可以使用他的?!
答案 0 :(得分:3)
如果您担心,有两件事可以保护您的应用免受此攻击。
在您的开发应用设置中启用Stream post URL security设置(在高级>迁移下)。这样可以防止应用ID中的流媒体信息链接到您的Apps连接或画布网址以外的任何内容。
修改Server Whitelist(在高级>安全设置下)以仅包含您的应用服务器IP地址。这意味着只接受来自这些指定IP的API请求。