0

signed_request を安全でない方法で処理する FB アプリケーションがいくつかあることに気付きました。F.exページタブからアプリケーションをロードすると、FBはsigned_requestをアプリに投稿します。次に、アプリは、signed_request を get 変数として渡して、サイトにさらにリダイレクトします。

理論的には、少なくとも安全性が低くなります。Facebook は signed_requests の処理方法に関するガイドライン/ルールを発表しましたか?それとも、アプリケーションは自由に好きなことを実行できますか?

4

1 に答える 1

0

F.exページタブからアプリケーションをロードすると、FBはsigned_requestをアプリに投稿します。次に、アプリは、signed_request を get 変数として渡して、サイトにさらにリダイレクトします。

外部リソースをページに埋め込まない限り (HTTP リファラーとして転送される可能性が高いため)、GET 経由で渡すこと自体は有害ではありません。

しかし、signed_request パラメーターを渡す本当の理由はわかりません。一度デコードして検証したら、それをセッションに入れて、いつでもアクセスできるようにします。

理論的には、少なくとも安全性が低くなります。Facebook は signed_requests の処理方法に関するガイドライン/ルールを発表しましたか?それとも、アプリケーションは自由に好きなことを実行できますか?

トークンの取り扱いはあなたの責任です。トークンが盗まれてスパムに悪用されるような方法で行った場合、FB はあなたのアプリをブロックする可能性が高くなります。

于 2013-03-13T13:05:17.370 に答える