App_id подделка и неправильное использование

Question

Извините, если это слишком простой вопрос для этого форума, но он какое-то время думал у меня, поэтому я попробовал его. Я использовал IMDB app_id и поддельный URL, изображение и т. Д., И он вернулся с сообщением об ошибке, в котором говорилось, что мне не разрешено это делать. Хорошо. Попробовал то же самое с моим идентификатором приложения, и он прошел без проблем! Оформление поддельной стены выглядело так, как будто оно пришло из моего приложения! Могло быть абсолютно все! Порно, фишинговые атаки, вы называете это!

Так что мой вопрос в том, что я пропустил. Почему только IMDB может использовать свой идентификатор приложения, но любой Том, Дик или Гарри могут использовать мой?!

Answer 1

Есть две вещи, которые вы можете сделать, чтобы защитить свои приложения от этого, если вы беспокоитесь.

1. Включите настройку Stream post URL security в настройках приложения Dev (в разделе «Дополнительно»> «Миграции»). Это предотвратит ссылки на потоковые сообщения из вашего идентификатора приложения на любые ссылки, кроме ссылок на приложения или холста.

2. Измените Server Whitelist (в разделе «Дополнительно»> «Настройки безопасности»), чтобы включить только IP-адрес сервера приложений. Это будет означать, что будут приниматься только запросы API, поступающие с указанных IP-адресов.