Facebookアプリを作成しています。 Facebookはiframeにアプリビューを表示し、POSTパラメータでsigned_requestを与える。signed_requestは安全ですか?
誰かが他のsigned_request文字列を取得した場合、彼はそれをアプリに投稿できます。
curl -F "signed_request=CCuTU8c2…NjMwOTMxIn0" https://app.mydomain.xx/
Signed_requestは改ざんに対する登録者です。一方、アプリは調整されていないデータを受け入れます。
Facebookのアプリが何かをチェックする必要がありますか?たとえば、issued_atの値です。私はsigned_requestをどのように処理するのだろうか。 FacebookのPHP SDKはそれをクッキーに設定します。大丈夫です?
ありがとうございました!遅い回答には申し訳ありません。 私の同僚はまた、私はあまりにも心配だと私に言った。 – Shinya