Facebook 不安全地处理已签名的\u请求

我注意到有几个FB应用程序以不安全的方式处理签名请求。F.ex我从页面选项卡加载应用程序，FB将签名的_请求发布到应用程序。然后，应用程序将我重定向到他们的站点，并将签名的_请求作为get变量传递

从理论上讲，它至少不那么安全，Facebook是否制定了关于如何处理签名请求的指导方针/规则，或者应用程序是否可以自由地做任何他们想做的事情

F.ex我从页面选项卡加载应用程序，FB将签名的_请求发布到应用程序。然后，应用程序将我重定向到他们的站点，并将签名的_请求作为get变量传递

通过GET传递它本身并不有害——只要您不在页面中嵌入任何外部资源（因为这些资源很可能会将其作为HTTP引用器进行传输）

但我看不出传递signed_请求参数的真正理由——一旦它被解码和验证，我就把它放到会话中，并随时可以访问它

从理论上讲，它至少不那么安全，Facebook是否制定了关于如何处理签名请求的指导方针/规则，或者应用程序是否可以自由地做任何他们想做的事情

处理代币是你的责任——如果你的代币被盗并被误用为垃圾邮件，FB很可能会阻止你的应用