我对FB.ui的任何调用都没有跟随任何动作.在Chrome上,如果'display'属性设置为'iframe'或'dialog',则会触发以下错误:
阻止来自原始" https://www.facebook.com "的框架访问具有原始" http://my.domain.com " 的框架.请求访问的帧具有"https"协议,被访问的帧具有"http"协议.协议必须匹配.
Firefox和IE都没有在控制台中显示任何内容,但也没有任何反应.因此,我不太确定这是否是一个真正的XSS问题.为了记录,整个网站都在HTTP上运行,我没有明确指定任何HTTPS查询.
源代码如下:
window.fbAsyncInit = function() {
FB.init({
appId : XXXXXXXXX,
status : true,
cookie : true,
});
FB.Event.subscribe('auth.logout', function(response) {
window.location.reload();
});
window.selectedFacebookFriends = [YYYYYYYYY];
window.inviteFacebookFriends = function() {
FB.getLoginStatus(function(response) {
if (response.status === 'connected') {
to = window.selectedFacebookFriends.join(',');
FB.ui({
method: 'apprequests',
message: 'Join ZZZZZZZZZ, it\'s cool there!',
to: to
}, function(response) {});
}
});
}
};
// Load the SDK asynchronously
(function(d, s, id) {
var js, fjs = d.getElementsByTagName(s)[0];
if (d.getElementById(id)) …