Странный URL добавлен »[# _ = _» [дубликат]
Возможный дубликат:
Play Plass Appending # = для перенаправления после Facebook Via Oauth2?Еще видно это произошло?
Я создаю приложение для Canvas Facebook, используя Facebook PHP SDK и какой-то JavaScript.
Теперь, когда я беру пользователя через течет аутентификации OAUTH, я заметил, что URL в браузере автоматически прилагается с этим«# _ = _», поэтому мой URL начинает выглядеть так:http://apps.facebook.com/xxxxxxxxxxxx/#_=_И когда я перенаправляю на странице профиля приложений, URL это:
http://www.facebook.com/apps/application.php?id=xxxxxxxxxxxx#_=_Я перенаправляю с использованием
echo ""к URL Canvas и
echo ""для страницы профиля приложений.
Так почему это
# _ = _Удаление?Обновление:
Согласно Эта ошибка на трекере , это по дизайну и дает Значение для
Redirect_uriне меняет этого.И в соответствии с официальным ответом Affake Facebook на этой странице (нужно войти в Facebook, чтобы просмотреть сообщение):
Это было помечено как «по дизайну», потому что он предотвращает потенциал Уязвимость безопасности.
Некоторые браузеры будут добавлять хэш-фрагмент с URL-адреса до конца нового URL, к которому они были перенаправлены (если этот новый URL сам сам не имеет хеш-фрагмент).
Например, если Example1.com возвращает Redirect на Example2.com, а затем браузер, идущий на example1.com # ABC, перейдет на example2.com # ABC, а содержимое хеш-фрагмента из example1.com будет доступно для Сценарий на example2.com.
Поскольку можно использовать один перенаправление потока авторизации к другому, можно было бы иметь чувствительные данные аутентификации из одного приложения, доступного для другого.
Это смягчается путем добавления нового хэш-фрагмента к URL-адресу перенаправления для предотвращения этого поведения браузера.
Если эстетика или поведение на стороне клиента, результирующего URL вызывают беспокойство, можно было бы использовать Window.Location.hash (или даже на стороне сервера, перенаправляя собственного), чтобы удалить оскорбительные символы.