什么可以保护我的 Facebook 应用程序不被冒充?
What protects my Facebook application from being impersonated?
Facebook JavaScript SDK guide 包含一个示例代码,用于为特定应用程序集成 Facebook 登录和授权。提供给此脚本的唯一信息是 App ID。
假设用户授权我的应用程序访问他的私人数据。现在,是什么阻止其他人使用 my App ID 和 JavaScript 将 Facebook 登录表单放在他的 own 应用程序上好像它来自我的域并访问该用户的私人数据?
浏览器在这个问题上是否提供足够的安全性?
当 SDK 将用户重定向到 Facebook 时,Facebook 的服务器将重定向回您的站点。重定向 URL 由您在 Facebook 开发者中心的应用程序设置中设置。如果有人窃取您的 App Id 并将其放在他的站点中,他的所有用户都将被重定向到您的站点。
Now, what prevents someone else to put a Facebook login form on his own application using my App ID and JavaScript to make it look like it came from my domain and access this user's private data?
Do browsers provide enough security on this subject?
真的,与浏览器无关。 Facebook 只会将数据传回 developer console.
中列入白名单的应用程序域集中的域
Facebook JavaScript SDK guide 包含一个示例代码,用于为特定应用程序集成 Facebook 登录和授权。提供给此脚本的唯一信息是 App ID。
假设用户授权我的应用程序访问他的私人数据。现在,是什么阻止其他人使用 my App ID 和 JavaScript 将 Facebook 登录表单放在他的 own 应用程序上好像它来自我的域并访问该用户的私人数据?
浏览器在这个问题上是否提供足够的安全性?
当 SDK 将用户重定向到 Facebook 时,Facebook 的服务器将重定向回您的站点。重定向 URL 由您在 Facebook 开发者中心的应用程序设置中设置。如果有人窃取您的 App Id 并将其放在他的站点中,他的所有用户都将被重定向到您的站点。
Now, what prevents someone else to put a Facebook login form on his own application using my App ID and JavaScript to make it look like it came from my domain and access this user's private data?
Do browsers provide enough security on this subject?
真的,与浏览器无关。 Facebook 只会将数据传回 developer console.
中列入白名单的应用程序域集中的域