2

Facebookは、すべてのfacebook.comページでhttpsをサポートすることにより、(Firesheepなどのツールを使用して)盗聴を防止するための優れた作業を行っていますが、サードパーティのサイトに同様のレベルのセキュリティを提供していません。

現在、Facebook JS SDKを使用しているサードパーティのWebサイトからトラフィックを盗聴し、Webサイトがユーザーの認証に使用するユーザーの署名済みfbsr_APP_IDCookieを取得することができます。

このCookieをsecureパラメーターで設定して、HTTPS接続でのみ送信されるようにする方法はありますか?

ドキュメントとJavaScriptSDKソースコードの両方を読みましたが、それは不可能のようです。それが不可能な場合、このCookieの盗聴を回避するために他にどの認証方法を提案しますか?

4

1 に答える 1

0

賞金には遅すぎると思いますが、喜んで「受け入れられた答え」を受け取ります:)

備考に記載されているようにFB.init、Facebook JS SDKでオプションを使用してCookieを設定するかどうかを指定すると、cookiesデフォルトではCookieが設定されていないように見えます:https ://developers.facebook.com/docs/reference /javascript/FB.init/

その後、独自のjavascriptを使用して、fbsr_APP_IDを任意の方法(安全なCookie、クライアント側のストレージなど)に保存します。

于 2012-10-13T20:28:57.383 に答える