Facebook通过在所有Facebook.com页面上支持https,在防止窃听方面做了大量工作(使用Firesheep等工具),但没有为第三方网站提供类似的安全级别。
现在,可以窃听使用Facebook JS SDK的第三方网站的流量,并获得用户签名的fbsr_APP_ID cookie,网站应该使用该cookie来验证其用户。
是否有方法使用安全参数设置此cookie,使其仅通过HTTPS连接传输
我已经阅读了文档和JavaScriptSDK源代码,但这似乎是不可能的那么,如果不可能,您建议使用其他哪种身份验证方法来避免窃听此cookie
我觉得我来不及领取赏金了,但我很乐意接受"接受的答案":)
如备注所述,在您指定的FB.init
上,无论您是否希望facebook JS SDK使用cookies
选项为您设置cookie,默认情况下甚至看起来没有设置cookie:https://developers.facebook.com/docs/reference/javascript/FB.init/
然后使用自己的javascript以任何方式存储fbsr_APP_ID(安全cookie、客户端存储等)。