Facebook回调已经开始追加#_=_哈希下划线返回URL
有人知道为什么吗?解决方案是什么?
当前回答
我知道这个回复晚了,但如果您正在使用passportjs,您可能想看到这个。
return (req, res, next) => {
console.log(req.originalUrl);
next();
};
我已经编写了这个中间件,并将其应用于表示服务器实例,我得到的原始URL没有“#_=_”。看起来,当我们将passporJS的实例作为中间件应用到服务器实例时,它不接受这些字符,而只在浏览器的地址栏上可见。
其他回答
对我来说,我让JavaScript重定向到另一个页面,以摆脱#_=_。下面的想法应该有用。:)
function redirect($url){
echo "<script>window.location.href='{$url}?{$_SERVER["QUERY_STRING"]}'</script>";
}
对于那些正在寻找简单答案的人 加上这个,对我很管用
if (window.location.hash === "#_=_"){
history.replaceState
? history.replaceState(null, null, window.location.href.split("#")[0])
: window.location.hash = "";
}
请查看Paul Schwarz的完整回答
https://stackoverflow.com/a/18305085/2694806
你也可以在Facebook回调的redirect_uri参数上指定你自己的散列,这在某些情况下可能是有帮助的,例如/api/account/callback#home。当你被重定向回来,它至少是一个哈希,对应于一个已知的路由,如果你使用backbone.js或类似的(不确定jquery移动)。
这是Facebook出于安全考虑而设计的。下面是Facebook团队成员埃里克·奥斯古德的解释:
This has been marked as 'by design' because it prevents a potential security vulnerability. Some browsers will append the hash fragment from a URL to the end of a new URL to which they have been redirected (if that new URL does not itself have a hash fragment). For example if example1.com returns a redirect to example2.com, then a browser going to example1.com#abc will go to example2.com#abc, and the hash fragment content from example1.com would be accessible to a script on example2.com. Since it is possible to have one auth flow redirect to another, it would be possible to have sensitive auth data from one app accessible to another. This is mitigated by appending a new hash fragment to the redirect URL to prevent this browser behavior. If the aesthetics, or client-side behavior, of the resulting URL are of concern, it would be possible to use window.location.hash (or even a server-side redirect of your own) to remove the offending characters.
来源:https://developers.facebook.com/bugs/318390728250352/
这将删除附加字符到您的url
<script type="text/javascript">
var idx=window.location.toString().indexOf("#_=_");
if (idx > 0) {
window.location = window.location.toString().substring(0, idx);
}
</script>
推荐文章
- 如何测试Facebook本地连接
- 如何在iOS中使用Swift编程segue
- Ajax会调用什么样的响应,比如'for (;;);{json data}的意思?
- React-Native:应用程序未注册错误
- Facebook:永久页面访问令牌?
- 调用线程必须是STA,因为许多UI组件都要求这一点
- 使用什么api来绘制其他应用程序(如Facebook的Chat Heads)?
- Android Facebook集成无效键散列
- 如何创建Android Facebook密钥哈希?
- Android-Facebook应用程序的键散列
- 如何找到并运行keytool
- Facebook API -如何通过Facebook API获得Facebook用户的个人资料图像(不需要用户“允许”应用程序)
- 如何从事件对象访问自定义属性在反应?
- Android Facebook风格幻灯片
- Facebook OAuth“这个URL的域名不包括在应用程序的域名中”
