个人中心
文章发布
退出
作者热门文章
- xml - AJAX/Jquery XML 解析
- 具有多重继承的 XML 模式
- .net - 枚举序列化 Json 与 XML
- XML 简单类型、简单内容、复杂类型、复杂内容
25
4
我正在尝试将 facebook 身份验证嵌入到我的应用程序中。我最初的努力是在浏览器中登录并获取代码。我将此代码传回我的 api 并获取访问 token (保留在服务器中)并通过我的服务器将我的所有请求路由到 FB Api。对我来说似乎完全安全,因为我的客户没有任何信息能够作为我的应用程序对 FB 进行授权调用。
然而,我一直在研究 FB Javascript SDK,以避免编写用于打开和关闭对话框的代码,并注意到它允许我getLoginStatus 并返回访问 token 给我。此外,我在他们的文档中查看了 FB 身份验证流程,他们说客户端-服务器混合流程可以在服务器实际将“长期访问 token ”返回给客户端并建议我使用 HTTPS(公平)的情况下执行。
现在这一切让我开始思考这是否是一个安全问题。作为一名潜在的黑客,我不能在用户的网页中注入(inject)一些 javascript 来
a) 创建一个getLoginStatus 并获取访问 token ,或者
b) 只获取访问权限通过向我的 api 服务器发出请求并获取访问 token
然后使用它来发布(假设用户授权我的应用程序这样做)到 facebook,就好像我的应用程序正在这样做一样?
我是一名安全新手,可能忽略了这里的一堆东西,但有人可以帮助我了解我缺少的东西吗?
提前致谢!
PS:我确实知道我可以启用进一步的安全性,以确保每次我想发出客户端无法执行的请求时都需要应用程序 secret ,因为该信息在客户端永远不可用。
最佳答案
我不是安全专家,只是一些想法:在您的问题中,您假设黑客使用恶意软件以某种方式将脚本注入(inject)用户浏览器中的网页,然后该脚本与您在客户端的数据进行交互.
现在,如果我们想象这真的发生了,并且恶意脚本拥有对网页数据的完全访问权限,即使您在客户端上没有访问 token ,是什么阻止了恶意脚本向您的服务器发出请求并通过您的服务器与 Facebook 互动?
此外,如果用户打开 facebook 本身并在那里授权,则恶意脚本可以注入(inject) facebook 页面并代表用户执行任何操作,只需将请求发送到 facebook 服务器。
这样,我认为如果您描述的情况发生了,您是否在客户端存储访问 token 并不重要 - 无论如何,邪恶的脚本将能够完成它的工作。
实际上,如果您担心安全性 - 首先仔细检查所有与身份验证和安全性相关的 facebook 文档,并遵循他们的建议。其次 - 搜索常见的已知攻击向量和如何避免应用程序中的安全风险的建议。如果用户的计算机上已经安装了能够改变浏览器行为(例如将其他脚本注入(inject)页面)的恶意软件,您可能无能为力。
关于javascript - Facebook Javascript SDK 安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43960666/
25
4
0
我为我们的业务创建了一个 Facebook 页面,我创建了一个 Facebook 应用程序来获取 AppID,以便在 Facebook 插件中使用它。 我注意到 Facebook 应用程序的页面看起来
是否有可能知道哪个 Facebook 用户点击了我的应用用户在 Facebook 上分享的链接? 为了清楚起见,让我改写一下:我想知道我的应用用户的哪些 friend 点击了他的共享链接。 感谢任何提
我正在浏览 facebook pixel,对 facebook pixel 如何知道哪个转化来自哪个 facebook 广告感到很困惑? 假设我有这个 url http://example.com安装
我正在开发 sucsongmoi.net(越南语),当浏览者从他们的墙上分享网站链接时,一些链接 facebook 获得描述和图像,一些链接 facebook 无法获得描述和图像。 例如:分享 suc
一位同事错误地设置了个人 Facebook 页面;它应该是一个企业 Facebook 页面。 个人页面上有几个 friend 需要重定向到正确的 Facebook 业务页面。 我可以将用户从错误的个人
在 Facebook 上,当您转到“编辑我的个人资料”>“艺术和娱乐”时,会有一个“电影”自动完成小部件,它会在您输入电影时推荐电影。 因此,如果您输入“Jones”,它将开始建议: 印第安纳琼斯 布
我在我的网页上使用 Facebook 登录。首次登录时,Facebook 登录应用程序会请求获取用户数据的权限。 有什么方法可以改善这个问题,以请求喜欢我的 Facebook 页面的许可?用户点击后,
我需要知道是否可以将现有的 Facebook 页面(类别:应用程序页面)链接到 Facebook 应用程序?当我进入 Facebook 应用程序设置时,他们建议创建一个新页面。但我需要的只是链接到现有
我的网站应用程序具有通过 Facebook 登录进行登录的功能。为此,我的应用程序出现在 Facebook 上。使用 Facebook 登录工作正常。 但应用程序具有将 Facebook 帐户链接和取
我正在制作一个应用程序,让人们可以在 Facebook 上与特定的 friend 分享内容。示例:Alice 使用我的应用程序,她与 Bob 分享了一篇文章,Bob 是她的 Facebook 好友。现
我正在按照列出的说明进行操作 http://docs.appcelerator.com/platform/latest/#!/api/Modules.Facebook 并查看 Arrow 示例目录中的
假设我有一个餐厅的商业网站,一位顾客为一大群人预订了一张 table 。有没有一种方法可以让客户有机会在餐厅网站上创建 Facebook 事件,作为预订流程的一部分。我知道客户必须以某种方式从餐厅网站
我想让我的用户将他们的用户帐户与 Facebook 或 Twitter 相关联,并允许他们使用他们的 Facebook/Twitter 帐户登录我的服务器,而不是使用传统的用户名/密码。与StackO
我们有一个面子书页面。我们添加了一个自定义 FBML 选项卡。现在我们要添加评论面子书插件。我尝试添加一个脚本,我从 Face book Social Plug in .代码是 之后我将此脚本放入自
大家好 请帮我找到关于以下的官方信息: 1) 什么是“FaceBook 登录” 2) 什么是“FaceBook Connect” 谢谢 最佳答案 你可以在那里找到你需要的一切: http://deve
这是最奇怪的事情。我有非常简单的 CF 代码,查看 cgi.HTTP_REFERER。简单地说,它查看推荐人。如果链接是从我们的主要网站域之外单击的,它会显示一些内容。否则,什么也不会发生。所以,如果
我还是 Facebook Graph API 的新手,正在尝试开始使用 Facebook 地点搜索。 (按位置搜索地点) https://graph.facebook.com/search?type=
我不想开设 Facebook 帐户,但我被要求为需要使用 Facebook API 的应用程序开发功能。有没有一种方法可以开发这些功能并使用 Facebook API,而无需开设个人 Facebook
我已经按照指示实现了 DotNetOpenAuth 提供的示例应用程序 here . 正如您在下面看到的,这要求用户安装此 facebook 应用程序。 我只是想让用户使用他们的 Facebook 登
我的主页上有标准的 Facebook 登录按钮,我不希望人们仅在用户单击登录按钮时使用他们的 Facebook 帐户自动登录我的网站。 如果用户未登录 Facebook,将出现一个弹出窗口询问他的凭据
我是一名优秀的程序员,十分优秀!