假设我的应用程序具有某个 facebook 用户的访问 token 。 将 JS 代码中的此访问 token 暴露给访问我网站的其他一些用户是否存在安全风险?如果是这样,他们可以用它做什么?
最佳答案
你有风险
- > Confused deputy -- 您的代码正在向可能有意或代表更多恶意代码滥用这些特权的代码授予特权。
- 通过 code injection 盗窃(XSS) -- 凭据可能会被通过 XSS 漏洞注入(inject)您页面的代码窃取,然后用于代表用户行事,可能会生成指控您是罪魁祸首的日志。
- 通过窃听进行窃取——如果浏览器和您的服务器之间的连接有非 HTTPS 内容,那么能够读取数据包的窃听者就可以窃取凭据。
- 恶意软件盗窃——如果用户的计算机上运行着恶意软件,那么将这些凭据发送到浏览器会使他们暴露于该恶意软件。恶意软件可能必须读取浏览器进程拥有的内存或浏览器写入的缓存文件。
关于facebook - 在 javascript 中公开 facebook 用户访问 token 有哪些安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9005210/