我正在创建一个Facebook应用程序。 Facebook在iframe中显示应用视图,并在POST参数中为其提供signed_request。signed_request是否安全?
如果有人获得他人的signed_request字符串,他可以将其发布到应用程序。
curl -F "signed_request=CCuTU8c2…NjMwOTMxIn0" https://app.mydomain.xx/
Signed_request是篡改。另一方面,应用程序接受没有锻炼的数据。
Facebook应用程序应该检查一些东西吗?例如,issued_at的值。我不知道如何处理signed_request。 Facebook的PHP SDK将其设置为cookie。没关系?
谢谢!我很抱歉我的反应慢。 我的同事也说我太担心了。 – Shinya 2012-06-15 03:25:56