JavaScript SDKを使用すると、ユーザーの同意を得てウォールポストすることができます。それはクライアント側で全面的に行うことができるので、誰かが私のアプリケーションに代わって自分の壁に何かを掲示するのを防ぐにはどうすればいいですか? "picture"、 "link"、 "caption"、 "description"恵みのためフィード掲示のセキュリティ
編集:
自慢は、オンラインゲームを含むあらゆるゲームの重要な部分です。私のウェブゲームでは、ユーザーがFacebookに自信を持って勝つことができるようにしたいと考えていますが、実際に勝利しなくても自慢できるようにするために、アプリケーションを使ってポストを送信して送信することはできません。彼らは私が実際にそれらを許可する場合(私はいくつかの認証されたサーバー側のAPIを使用してこれを保証するために想像することができます)私のアプリケーションを介して何かを公開することがあります。
FacebookのFeed Dialogは、開発者が壁に何かを公開するかどうかをユーザーに促すことができます。ユーザーの勝利の話を公開するために使用することもできます。問題は、そのAPIが完全にクライアント側であり、Javascript SDKを介して、または単にURLを鍛造することによって使用できることです。
https://www.facebook.com/dialog/feed?
app_id=123050457758183&
link=https://developers.facebook.com/docs/reference/dialogs/&
picture=http://fbrell.com/f8.jpg&
name=Facebook%20Dialogs&
caption=Reference%20Documentation&
description=Using%20Dialogs%20to%20interact%20with%20users.&
redirect_uri=http://www.example.com/response
問題は、私は、既存のアプリケーションのために、このような要求を偽造することができませんでしたということです、私はこの与えられた例のように、単にURLのフィールドを充填することにより、自分のアプリケーションの名前でポストを偽造することができましたRobot Unicorn Attack : Evolutionのように。したがって、1)私はこのアプリケーションへのリクエストを偽造する方法を知らず、まだ可能であり、安全性がないか、または2)FacebookのAPIのクライアント側の悪用を防ぐことが可能であり、私のアプリケーションでこれを行う方法。
恩恵のために、私は適切な答えを考えます1)いくつかのアプリケーションに代わっていつも郵便を偽造することが可能であるという証拠、そして私が望むものを投稿する方法が必要ですRobot Unicorn Attack : Evolutionの代わりに、または2)ユーザーが私のアプリケーションに代わってフィード・ポストを偽造するのを防ぐ方法。サーバ側の情報を持たない方法ではできません。
にダイアログポップアップ参照ヒット「ポストを偽造することは常に可能であるといういくつかの証拠」 - ヨーヨーあなたはすでにそれを証明しています – zerkms
"私のアプリケーションに代わってユーザーがフィードの投稿を偽造するのを防ぐ方法" - あなたのアプリケーションのために投稿するには、定義によって隠すことのできないアプリケーションIDだけです。だから、あなたがアプリケーションを持っている限り、誰でも代理人として投稿することができます – zerkms
ロボットユニコーンアタック:進化のために投稿しようとすると、なぜ「無効なリクエスト」を受け取るのですか?なぜ私は自分のゲームでそれをすることができますが、一般的なゲームではできません。おそらくそれに接続したので – lvella