Facebook 不安全地处理已签名的\u请求
我注意到有几个FB应用程序以不安全的方式处理签名请求。F.ex我从页面选项卡加载应用程序,FB将签名的_请求发布到应用程序。然后,应用程序将我重定向到他们的站点,并将签名的_请求作为get变量传递 从理论上讲,它至少不那么安全,Facebook是否制定了关于如何处理签名请求的指导方针/规则,或者应用程序是否可以自由地做任何他们想做的事情 F.ex我从页面选项卡加载应用程序,FB将签名的_请求发布到应用程序。然后,应用程序将我重定向到他们的站点,并将签名的_请求作为get变量传递 通过GET传递它本身并不有害——只要您不在页面中嵌入任何外部资源(因为这些资源很可能会将其作为HTTP引用器进行传输) 但我看不出传递signed_请求参数的真正理由——一旦它被解码和验证,我就把它放到会话中,并随时可以访问它 从理论上讲,它至少不那么安全,Facebook是否制定了关于如何处理签名请求的指导方针/规则,或者应用程序是否可以自由地做任何他们想做的事情 处理代币是你的责任——如果你的代币被盗并被误用为垃圾邮件,FB很可能会阻止你的应用Facebook 不安全地处理已签名的\u请求,facebook,security,Facebook,Security,我注意到有几个FB应用程序以不安全的方式处理签名请求。F.ex我从页面选项卡加载应用程序,FB将签名的_请求发布到应用程序。然后,应用程序将我重定向到他们的站点,并将签名的_请求作为get变量传递 从理论上讲,它至少不那么安全,Facebook是否制定了关于如何处理签名请求的指导方针/规则,或者应用程序是否可以自由地做任何他们想做的事情 F.ex我从页面选项卡加载应用程序,FB将签名的_请求发布到应用程序。然后,应用程序将我重定向到他们的站点,并将签名的_请求作为get变量传递 通过GET传递它