我有一个服务器,我正在使用APIv2.2测试connect with Facebook功能,当用户单击该按钮并允许我的应用程序通过身份验证并重定向到我的网站http://example.com/?#access_token=<REDACTED> Great时,修改后的部分就是授权用户的access_token。
现在,我在考虑另一个透视图:任何攻击者是否有可能在他的站点上/代表其他用户抢占access_token?请注意,我有白名单我的领域http://example.com在Facebook开发者,所以redirect_uri到另一个网站不工作,我有一个1-2页在我的网站上,所以
如果我从一个网站获取数据,例如从Facebook获取状态更新并显示在我的网站上。如果我没有考虑到写成状态更新的代码会在我的网站上执行,那么会造成什么损害呢?
例如,西蒙先生发布了他的状态更新,
"<p style="color:red;">I love to code</p>"
现在,当我在我的网站上显示这个,它会转换成我喜欢的文字,用红色写成代码。