个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
26
4
当您将 Facebook 登录与网络应用程序集成时,您可以在 Facebook 的应用程序设置中指定网络应用程序的 URL。尝试在不是从该 URL 加载的页面上使用该应用程序的 ID 会给出相应的错误:“应用程序配置不允许给定的 URL。”
他们如何做到这一点而不让击败它变得微不足道?如果应用程序在 http://example-a.com 上获得授权,如果我复制应用程序 ID 并尝试从 http://example-b 使用它,他们将如何阻止访问.com?我试图了解他们是如何做到这一点的,因为我需要在我正在做的一些工作中进行类似的 lock-down-by-originating-URL。
我有一种强烈的错觉。
我知道他们正在使用授权/身份验证流程“based on”OAuth 2.0 spec (以及基本流程 isn't exactly complicated ),但我无法确定他们在该流程的哪个阶段验证了原始页面的 URL 以及他们如何将该 URL 发送到他们的服务,同时确保它没有被篡改/欺骗。
我(认为我已经)消除的东西:
虽然我看到它们绕过原始域(在查询字符串等中),但它们不能仅依赖于此,修改调用代码以“调整”它是微不足道的。我希望这是解决方案的一部分,但只是其中的一部分。
他们不能使用 Referer (sic) header ,因为这很容易被欺骗。
他们不能(仅)使用在原始页面中运行的代码,因为可以对其进行修改。
他们不能只依赖于 postMessage,因为 Facebook Login 可以在 IE8/9 上运行,而且它是一个弹出窗口(不仅仅是一个框架); IE8/9 中的 postMessage only works within frames ,而不是单独的选项卡/窗口。
最佳答案
当我在问题中写下我的第四个要点时,我意识到他们可以做什么(并且检查教会了我一些关于 postMessage 的非常有用的事情)。
我认为他们大致是这样做的:
加载到原始页面的 Facebook 代码(当然,它可能被黑客攻击——但稍后会处理)添加一个 iframe从 mumble.facebook.com 加载到原始页面; iframe包含登录按钮。
原始页面上的 Facebook 代码使用 postMessage和那个说话iframe .
iframe 中的代码— 原始站点无法合理破解,因为它是从 mumble.facebook.com 加载的— 使用 origin它使用 postMessage 接收的事件对象的属性来自原始页面的消息;这就是它如何拥有原始来源的可靠版本。这不能被欺骗(除非浏览器错误)。
iframe 中的登录按钮打开一个弹出窗口(从 mumble.facebook.com 加载),它使用 opener (但不是 postMessage )与 iframe 交谈(由于 iframe 和弹出窗口是从同一个来源加载的,所以它们可以这样做——而且由于 IE8/9 的问题,它们必须这样做而不是 postMessage)。
然后是交互:
+------------------+ +--------+ +-------+| Originating page |<-->| iframe |<-->| popup |<------++------------------+ +--------+ +-------+ | ^ v | +---------------------+ +------------------>| mumble.facebook.com | +---------------------+
基本上,iframe是原始页面和弹出窗口(以及一般的 Facebook)之间的代理,并且在那个阶段(原始页面和 iframe 之间的通信)Facebook 获得原始页面来源的可靠版本。
我相信他们将原始来源传递给了 iframe作为查询参数作为添加的度量; iframe可能将它用于它回发到原始页面的任何消息,因此如果查询参数被黑客攻击,原始页面永远不会收到这些消息,并且没有任何效果。或者他们只是比较它们。
自 event.origin不能被欺骗(除非浏览器错误),以及 iframe 的代码和标记等弹出窗口来自 mumble.facebook.com ,它相当安全可靠(在 Web 浏览器领域内“相当”)。
关于javascript - Facebook 登录如何确保您的 Web 应用程序只能从您的 URL 使用?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23395526/
26
4
0
我为我们的业务创建了一个 Facebook 页面,我创建了一个 Facebook 应用程序来获取 AppID,以便在 Facebook 插件中使用它。 我注意到 Facebook 应用程序的页面看起来
是否有可能知道哪个 Facebook 用户点击了我的应用用户在 Facebook 上分享的链接? 为了清楚起见,让我改写一下:我想知道我的应用用户的哪些 friend 点击了他的共享链接。 感谢任何提
我正在浏览 facebook pixel,对 facebook pixel 如何知道哪个转化来自哪个 facebook 广告感到很困惑? 假设我有这个 url http://example.com安装
我正在开发 sucsongmoi.net(越南语),当浏览者从他们的墙上分享网站链接时,一些链接 facebook 获得描述和图像,一些链接 facebook 无法获得描述和图像。 例如:分享 suc
一位同事错误地设置了个人 Facebook 页面;它应该是一个企业 Facebook 页面。 个人页面上有几个 friend 需要重定向到正确的 Facebook 业务页面。 我可以将用户从错误的个人
在 Facebook 上,当您转到“编辑我的个人资料”>“艺术和娱乐”时,会有一个“电影”自动完成小部件,它会在您输入电影时推荐电影。 因此,如果您输入“Jones”,它将开始建议: 印第安纳琼斯 布
我在我的网页上使用 Facebook 登录。首次登录时,Facebook 登录应用程序会请求获取用户数据的权限。 有什么方法可以改善这个问题,以请求喜欢我的 Facebook 页面的许可?用户点击后,
我需要知道是否可以将现有的 Facebook 页面(类别:应用程序页面)链接到 Facebook 应用程序?当我进入 Facebook 应用程序设置时,他们建议创建一个新页面。但我需要的只是链接到现有
我的网站应用程序具有通过 Facebook 登录进行登录的功能。为此,我的应用程序出现在 Facebook 上。使用 Facebook 登录工作正常。 但应用程序具有将 Facebook 帐户链接和取
我正在制作一个应用程序,让人们可以在 Facebook 上与特定的 friend 分享内容。示例:Alice 使用我的应用程序,她与 Bob 分享了一篇文章,Bob 是她的 Facebook 好友。现
我正在按照列出的说明进行操作 http://docs.appcelerator.com/platform/latest/#!/api/Modules.Facebook 并查看 Arrow 示例目录中的
假设我有一个餐厅的商业网站,一位顾客为一大群人预订了一张 table 。有没有一种方法可以让客户有机会在餐厅网站上创建 Facebook 事件,作为预订流程的一部分。我知道客户必须以某种方式从餐厅网站
我想让我的用户将他们的用户帐户与 Facebook 或 Twitter 相关联,并允许他们使用他们的 Facebook/Twitter 帐户登录我的服务器,而不是使用传统的用户名/密码。与StackO
我们有一个面子书页面。我们添加了一个自定义 FBML 选项卡。现在我们要添加评论面子书插件。我尝试添加一个脚本,我从 Face book Social Plug in .代码是 之后我将此脚本放入自
大家好 请帮我找到关于以下的官方信息: 1) 什么是“FaceBook 登录” 2) 什么是“FaceBook Connect” 谢谢 最佳答案 你可以在那里找到你需要的一切: http://deve
这是最奇怪的事情。我有非常简单的 CF 代码,查看 cgi.HTTP_REFERER。简单地说,它查看推荐人。如果链接是从我们的主要网站域之外单击的,它会显示一些内容。否则,什么也不会发生。所以,如果
我还是 Facebook Graph API 的新手,正在尝试开始使用 Facebook 地点搜索。 (按位置搜索地点) https://graph.facebook.com/search?type=
我不想开设 Facebook 帐户,但我被要求为需要使用 Facebook API 的应用程序开发功能。有没有一种方法可以开发这些功能并使用 Facebook API,而无需开设个人 Facebook
我已经按照指示实现了 DotNetOpenAuth 提供的示例应用程序 here . 正如您在下面看到的,这要求用户安装此 facebook 应用程序。 我只是想让用户使用他们的 Facebook 登
我的主页上有标准的 Facebook 登录按钮,我不希望人们仅在用户单击登录按钮时使用他们的 Facebook 帐户自动登录我的网站。 如果用户未登录 Facebook,将出现一个弹出窗口询问他的凭据
我是一名优秀的程序员,十分优秀!