如何知道我的网页是否在Facebook iframe中运行

Question

我目前正在开发一个网站，该网站在iframe上运行独立和作为facebook应用程序 我想知道什么是最佳实践来检查我的页面在一个网站的iframe运行前的页面加载，所以我可以预设了相应的CSS和其他变量

感谢。

Answer 1

有一对夫妇的方式来处理这一点。如果您不关心安全性（即您只想知道如何格式化页面而不是决定显示哪些内容），那么您最好的选择可能是使用不同的URL访问Facebook。例如，如果您的独立站点是www.mysite.com，则可以将fb.mysite.com或www.mysite.com/fb配置为指向同一位置，然后在您的应用程序设置中使用备用版本。您的服务器代码可以轻松检查正在访问哪个网址版本并采取相应措施。当然，你必须谨慎对待你的链接，以确保它们保持正确的前缀。

的另一种方法是使用如signed_request所讨论的，设置cookie（或会话）时，它的存在是为了表示一个网站的访问。这里的技巧还包括在每个页面的顶部添加一些javascript代码，以检查页面是否在iframe中。如果不是，那么代码会立即重新引导回当前页面，并添加一个类似“？clearfb = 1”的参数，这将告诉服务器清除cookie /会话并以外部格式输出页面。

Answer 2

下面是一些PHP代码来测试，如果当前页面是Facebook的iframe中运行：

if(strpos($_SERVER[ 'HTTP_REFERER' ], "apps.facebook.com") !== false){ 
    // Page is running in Facebook iframe 
} 

Answer 3

检查，看是否有signed_request存在也将是一个很好的考验......

Answer 4

$signed_request = $_POST['signed_request']; 

if(empty($signed_request)) 
     die('No direct access.'); 

Answer 5

唯一真正的检查可以在客户端通过比较window.top==window如果它是真实的应用程序运行在iframe以外。

没有服务器端检查，可以保证这一点，因为浏览器未通过关于父帧比其他HTTP_REFERRER服务器不能被信任的信息。

Facebook的传递signed_request到您的应用程序，如果在页面标签画布的帆布运行，但是这是不是你可以完全信任，因为它可以通过用户也可以模仿。

更新：

，这是唯一真正的检查并不意味着你应该使用它的语句！你最好坚持signed_request基础的解决方案，因为它是一个Facebook的方式与你的程式互动，用户不打算使用signed_request，它不应该在任何条件下被作为查询字符串的一部分过去了！如果用户模仿它，有可能是错误的，那么在这种情况下我就不会提供错误的样式。

Answer 6

我今天早上遇到了同样的问题 - 我希望桌面用户可以通过Facebook访问我的应用程序，但我想移动用户可以直接通过URL来访问应用程序。就像弗洛伊德威尔伯恩说，通过不同的URL访问不同版本的应用程序是一个很好的选择，但不是具有应用的两个副本（难以维持）我用mod_rewrite的重写/ Facebook目录的应用程序根目录：

# rewrite both /facebook and/to same place so you 
# can tell if your request came from facebook or from direct URL access :) 
RewriteEngine on 
RewriteBase/
RewriteCond %{REQUEST_URI} /facebook* 
RewriteRule (.*) /index.php [L] 

请务必设置你的Facebook页面标签中的URL/Facebook的子目录降落。现在，你可以在浏览器嗅探，看看他们使用的是移动或桌面用户，并且可以测试请求的URL，看他们是否访问过Facebook或直接:)应用

让我补充一点，有没有万无一失的方式来确定客户端类型或访问点 - 两者都可能被知道自己在做什么的人欺骗 - 因此在设计应用程序的安全和身份验证机制时应考虑到这一点。