同じ名前の質問はいくつかありますが、どれも私の考えを尋ねることを意図したものではありません。そのため、FB js sdk をアプリ ID のみで初期化します。Facebook の初期化ソース コードを見れば、他の Web サイトのアプリ ID を簡単に知ることができます。ハッカーが他のアプリ ID で FB JS SDK を初期化し、ユーザー アクセス トークンを取得しようとする可能性があると考える人もいるかもしれません。しかし、Facebookはそのようなことを許可していません。Facebook Developer Apps ページの site url プロパティで指定したのと同じドメインから js sdk をロードする必要があります。問題は、jsonp any 呼び出しが適切なクライアントからのものであることをどのように知ることができるかということです。人々は必要に応じてJavaScriptをコピーして変更できるため、クライアント側でチェックインするのは安全ではありません。したがって、サーバー側でチェックする必要があります。「リファラーチェック」しか思い浮かばない