Facebook即时个性化是如何运作的? |
您所在的位置:网站首页 › facebook怎么注册登录 › Facebook即时个性化是如何运作的? |
好的,谢谢你帮我做这个@BassemDy -你给了我90%的答案,而我刚刚算出了我错过的另外10%。 我可以看到tripadvisor可以让我的浏览器在不违反任何跨域规则的情况下向facebook发送请求。正如BassemDy所指出的,当您从外部域加载图像,或者从某个外部域加载共享脚本(如google等)时,这种情况一直在发生。 我不明白的是,tripadvisor是如何让我的浏览器向facebook发送请求的,然后facebook可以识别我。 然后我想到了答案。当然tripadvisor的脚本不能直接读我的facebook cookie..。但是当我的浏览器向facebook提出跨域请求时,我的浏览器会将我的facebook cookie发送到facebook。那是我错过的部分。 然后facebook可以以tripadvisor的脚本所能读到的某种方式进行响应,因此tripadvisor的脚本可以确定我的身份。 所有使用OAuth和令牌的业务只是使上述过程安全的一种方式。实际上,tripadvisor可以让我把我的facebook饼干发送到facebook。 作为概念的证明,我在我控制的两个不同域上运行了以下测试脚本: 论domainone.com - login.php window.cookieFromDomainone = ; window.updateMe();然后在domaintwo.com - test.php上 window.updateMe = function() { document.getElementById('identityFromDomainone').innerHTML = window.cookieFromDomainone.yourname; };首先,我访问domainone.com/login.php,并设置一个包含我名字的cookie。当你登录到facebook时,类似的事情会发生。 然后访问domaintwo.com/test.php 它无法阅读我的domainone.com曲奇。但是它使我的浏览器向domainone.com和发送请求,我的浏览器将随请求一起发送我的domainone.com cookie。然后,在domainone.com/responder中,将cookie值输入一些返回的javascript,并在domaintwo.com上执行。 执行的javascript使我的身份在domaintwo.com上可用。当我的名字出现在p元素中时,就说明了这一点。 我感到非常震惊的是,编写代码是多么容易,这些代码基本上会向任何想要用户身份的网站吐露用户身份。我想知道在野外有多少写得不好的单一登录尝试等待被利用.希望facebook和他们的好友使用的OAuth系统是安全的。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |