lla*_*got 3 javascript xss facebook facebook-javascript-sdk facebook-ui
我对FB.ui的任何调用都没有跟随任何动作.在Chrome上,如果'display'属性设置为'iframe'或'dialog',则会触发以下错误:
阻止来自原始" https://www.facebook.com "的框架访问具有原始" http://my.domain.com " 的框架.请求访问的帧具有"https"协议,被访问的帧具有"http"协议.协议必须匹配.
Firefox和IE都没有在控制台中显示任何内容,但也没有任何反应.因此,我不太确定这是否是一个真正的XSS问题.为了记录,整个网站都在HTTP上运行,我没有明确指定任何HTTPS查询.
源代码如下:
window.fbAsyncInit = function() {
FB.init({
appId : XXXXXXXXX,
status : true,
cookie : true,
});
FB.Event.subscribe('auth.logout', function(response) {
window.location.reload();
});
window.selectedFacebookFriends = [YYYYYYYYY];
window.inviteFacebookFriends = function() {
FB.getLoginStatus(function(response) {
if (response.status === 'connected') {
to = window.selectedFacebookFriends.join(',');
FB.ui({
method: 'apprequests',
message: 'Join ZZZZZZZZZ, it\'s cool there!',
to: to
}, function(response) {});
}
});
}
};
// Load the SDK asynchronously
(function(d, s, id) {
var js, fjs = d.getElementsByTagName(s)[0];
if (d.getElementById(id)) {return;}
js = d.createElement(s); js.id = id;
js.src = "//connect.facebook.net/en_US/all.js";
fjs.parentNode.insertBefore(js, fjs);
}(document, 'script', 'facebook-jssdk'));
我尝试了很多FB.ui的其他方法,并更改了所有参数,直接从控制台调用它,但这没有帮助.
Facebook登录工作完美,以及我尝试使用FB.api的所有图形请求.问题似乎在于FB.ui或其实现.
我在这个网站上发现了不少类似的问题,但我遇到的解决方案都没有解决问题.
提前感谢您的帮助,如果我忘记了相关信息,请不要犹豫.
| 归档时间: |
|
| 查看次数: |
3425 次 |
| 最近记录: |