Facebook SDK devolvió un error: Falló la validación de falsificación de solicitudes entre sitios. El parámetro" state " de la URL y la sesión no coinciden

Insértese este código después $helper = f fb - >getRedirectLoginHelper ();

  $_SESSION['FBRLH_state']=$_GET['state'];

Y funcionará o para más detalles visite facebook login apps

Un montón de grandes respuestas ya mencionadas, aquí está la que me ayudó,

Encontré que el problema es La validación de la falsificación de solicitudes entre sitios falló. Requerido param" estado " falta en el código FB y aquí está la solución

Después de esta línea

$helper = $fb->getRedirectLoginHelper();

Añádase el siguiente código,

if (isset($_GET['state'])) {
    $helper->getPersistentDataHandler()->set('state', $_GET['state']);
}

Recibí este error al usar el SDK de Facebook en Symfony2, escribiendo una extensión Twig para mostrar los datos de la API en plantillas.

La solución para mí fue agregar 'persistent_data_handler'=>'session' a la configuración del objeto de Facebook, lo que hace que los datos de estado se almacenen en una clave de sesión en lugar de en la memoria:

$fb = new Facebook\Facebook([
    'app_id' => 'APP_ID',
    'app_secret' => 'APP_SECRET',
    'default_graph_version' => 'v2.4',
    'persistent_data_handler'=>'session'
]);

De forma predeterminada, estaba usando el controlador de memoria integrado, que no funcionaba correctamente para mí. Tal vez porque algunas funciones están siendo llamadas desde dentro de una extensión Twig, como el controlador de memoria funciona cuando se usa el SDK exclusivamente en controladores/servicios normales.

Aparentemente el estado se establece cuando se llama getLoginUrl(), y se recupera cada vez que se llama getAccessToken(). Si el estado guardado devuelve null (porque su controlador de datos no es tan persistente como debería ser), la comprobación de validación del CSRF falla.

Si necesita tratar las sesiones de una manera particular o desea almacenar el estado en otro lugar, también puede escribir su propio controlador con 'persistent_data_handler' => new MyPersistentDataHandler(), utilizando el FacebookSessionPersistentDataHandler como ejemplo.

Esto sucede cuando la biblioteca de Facebook no puede hacer coincidir el param de estado que recibe de Facebook con el que establece, por defecto, en la sesión. Si está utilizando un framework como Laravel, Yii2 o Kohana que implementa su propio almacenamiento de sesiones, es probable que la implementación estándar de sesiones de Facebook no funcione.

Para arreglarlo, necesita crear su propia implementación de PersistentDataInterface utilizando la biblioteca de sesiones de su marco y pasar esto a Facebook\Facebook constructor.

Aquí hay un ejemplo de un controlador de persistencia Laravel de Facebook :

use Facebook\PersistentData\PersistentDataInterface;

class MyLaravelPersistentDataHandler implements PersistentDataInterface
{
  /**
   * @var string Prefix to use for session variables.
   */
  protected $sessionPrefix = 'FBRLH_';

  /**
   * @inheritdoc
   */
  public function get($key)
  {
    return \Session::get($this->sessionPrefix . $key);
  }

  /**
   * @inheritdoc
   */
  public function set($key, $value)
  {
    \Session::put($this->sessionPrefix . $key, $value);
  }
}

Ejemplos de parámetros del constructor:

$fb = new Facebook\Facebook([
  // . . .
  'persistent_data_handler' => new MyLaravelPersistentDataHandler(),
  // . . .
 ]);

Más información aquí: https://developers.facebook.com/docs/php/PersistentDataInterface/5.0.0

Finalmente, mirando el código FB, descubrí que el problema

Falló la validación de la falsificación de solicitudes entre sitios. Requerido param" estado " falta

Y similares son causados por la variable PHP $_SESSION['FBRLH_state'] que por alguna razón "extraña" cuando FB llama al archivo login-callback.

Para resolverlo almaceno esta variable "FBRLH_state" DESPUÉS de la llamada de la función $helper->getLoginUrl(...). Es muy importante hacer solo después de la llamada de esta función debido a está dentro de esta función cuando la variable $_SESSION['FBRLH_state'] está poblada.

A continuación un ejemplo de mi código en el inicio de sesión.php:

$uri=$helper->getLoginUrl($uri, $permissions);
foreach ($_SESSION as $k=>$v) {                    
    if(strpos($k, "FBRLH_")!==FALSE) {
        if(!setcookie($k, $v)) {
            //what??
        } else {
            $_COOKIE[$k]=$v;
        }
    }
}
var_dump($_COOKIE);

Y en el login-callback.php antes de llamar a todo el código FB:

foreach ($_COOKIE as $k=>$v) {
    if(strpos($k, "FBRLH_")!==FALSE) {
        $_SESSION[$k]=$v;
    }
}

Por último, pero no menos importante, recuerde también incluir código para la sesión PHP so..

if(!session_id()) {
    session_start();
}
...
...
...
...
<?php session_write_close() ?>

Espero que esta respuesta pueda ayudarle a ahorrar 8-10 horas de trabajo :) Adiós, Alex.

Para mí, el problema era que no estaba ejecutando una sesión antes del script.

Entonces, agregué session_start(); antes de instanciar la clase Facebook.

El mismo problema se me ocurrió en laravel 5.4 resolví este problema poniendo

session_start();

En la parte superior del script.

A continuación se muestra el ejemplo de espacio de nombres del controlador laravel para darle un ejemplo de cómo funcionará.

<?php
namespace App\Http\Controllers;
session_start();
use Facebook\Facebook as Facebook;
?>

El problema está ocurriendo porque aún no se ha iniciado, por lo que al agregar inicio de sesión en la parte superior del script, estamos comenzando la sesión.

Espero que pueda ayudar a alguien..

El objeto Facebook tiene una variable de instancia llamada persistentDataHandler, generalmente una instancia de FacebookSessionPersistentDataHandler, que tiene un método set y get para acceder a las sesiones nativas de PHP.

Al generar la url de devolución de llamada usando:

$loginUrl = $helper->getLoginUrl($callback_url, $permissions);

El método FacebookRedirectLoginHelper->getLoginUrl() creará una cadena aleatoria de 32 caracteres, la añadirá a $loginUrl y la guardará en el código siguiente utilizando el método set de persistentDataHandler.

$_SESSION['FBRLH_' . 'state']

Más tarde, cuando se llame a $helper->getAccessToken();, el parámetro de estado en la url se comparará con el almacenado en el misma sesión para prevenir CSRF. Si no coincide, se lanzará esta excepción.

FacebookSDKException: Falló la validación de la falsificación de solicitudes entre sitios. Requerido param" estado " falta.

Dicho todo esto, debe asegurarse de que su característica de sesión nativa de PHP esté configurada correctamente durante este proceso. Puede comprobarlo, añadiendo

die($_SESSION['FBRLH_' . 'state']);

Después de

$loginUrl = $helper->getLoginUrl($callback_url, $permissions);

Y antes

$accessToken = $helper->getAccessToken();

Para ver si esa cadena de 32 caracteres está ahí.

Esperanza ayuda!

Recibe este error si su nombre de host de origen es diferente al nombre de host de destino una vez autenticado.

$loginUrl = $helper->getLoginUrl('http://MyWebSite', $permissions);

Con esta declaración, si el visitante en su sitio web utiliza http://www.mywebsite.com / se generará el error cross-site.

Debe asegurarse de que el origen y el nombre de host de destino sean exactamente los mismos, incluido el eventual prefijo www.

Versión fija:

$loginUrl = $helper->getLoginUrl('http://'.$_SERVER['SERVER_NAME'], $permissions);

Simplemente podría hacer esto establecer la sesión con el nuevo estado

<?php
if(isset($_GET['state'])) {
      if($_SESSION['FBRLH_' . 'state']) {
          $_SESSION['FBRLH_' . 'state'] = $_GET['state'];
      }
}
?>

Con Symfony, no funciona porque la forma en que se administran las sesiones.

Para resolver el problema puede crear un nuevo controlador que funcione con la sesión de symfony.

FacebookDataHandlerSymfony.php:

<?php

use Facebook\PersistentData\PersistentDataInterface;
use Symfony\Component\HttpFoundation\Session\Session;

class FacebookDataHandlerSymfony implements PersistentDataInterface
{

    private $session;

    public function __construct()
    {
        $this->session = new Session();
    }

    public function get($key)
    {
        return $this->session->get('FBRLH_' . $key);
    }

    public function set($key, $value)
    {
        $this->session->set('FBRLH_' . $key, $value);
    }

}

Y cuando creas el objeto FB, solo tienes que especificar la nueva clase :

$this->fb = new Facebook([
            'app_id' => '1234',
            'app_secret' => '1324',
            'default_graph_version' => 'v2.8',
            'persistent_data_handler' => new FacebookDataHandlerSymfony()
        ]);

Esto puede ser un poco tarde, pero espero que ayude a otros ya que este problema aún persiste.

Tuve este problema durante un tiempo y he buscado y he visto muchas soluciones diferentes, muchas de las cuales deshabilitan la comprobación de CSRF. Así que después de todo lo que he leído, esto es lo que funcionó para mí.

Por lo que entiendo, obtienes este error cuando tu URL de redirección no coincide con la que has configurado en la configuración de tu aplicación, por lo que mi problema se solucionó fácilmente, pero también he visto personas tienen problemas por no tener su sesión comenzó correctamente, así que voy a cubrir ambos temas.

Paso 1: Asegúrese de que su sesión haya comenzado cuando sea necesario.

Por ejemplo: fb-config.php

session_start();
include_once 'path/to/Facebook/autoload.php';

$fb = new \Facebook\Facebook([
    'app_id' => 'your_app_id',
    'app_secret' => 'your_secret_app_id',
    'default_graph_version' => 'v2.10'
]);

$helper = $fb->getRedirectLoginHelper();

Si su código de devolución de llamada de facebook está en otro archivo aparte de la configuración, entonces inicie la sesión en ese archivo también.

Por ejemplo: fb-callback.php

session_start();
include_once 'path/to/fb-config.php';

try {
    $accessToken = $helper->getAccessToken();
} catch (\Facebook\Exceptions\FacebookResponseException $e) {
    echo "Response Exception: " . $e->getMessage();
    exit();
} catch (\Facebook\Exceptions\FacebookSDKException $e) {
    echo "SDK Exception: " . $e->getMessage();
    exit();
}

/** THE REST OF YOUR CALLBACK CODE **/

Ahora, lo que resolvió mi problema real.

Paso 3: Configurar su redireccionar URL en la configuración de la aplicación.

En la configuración de la aplicación de inicio de sesión de Facebook, vaya a URIs de redirección de OAuth válidos donde debería haber agregado la url que apunta a su fb-callback.archivo php.

http://example.com/fb-callback.php

AND ALSO

http://www.example.com/fb-callback.php

Luego configure su url de redirección de la siguiente manera.

$redirectURL = "http://".$_SERVER['SERVER_NAME']."/fb-callback.php";
$permissions = ['email'];
$fLoginURL = $helper->getLoginUrl($redirectURL, $permissions);

¿Por qué con y sin www y por qué usar SERVER_NAME?

Debido a que su URI de redirección válida de OAuth debe coincidir con su url de redirección en su código y si en la configuración de la aplicación solo establece su OAuth redirect as http://example.com/fb-callback.php y configura tu redirec redirectUrl como http://example.com/fb-bacllback.php para que coincida, pero el usuario entró en su sitio como http://www.example.com entonces el usuario obtendrá el error Facebook SDK: Cross-site request forgery validation failed. Requerido param "estado" que falta en los datos persistentes porque la URL en la que se encuentra el usuario, no coincide EXACTAMENTE con lo que ha configurado. ¿Por qué? No tengo miedo idea.

Mi enfoque lo hace así si el usuario entra en su sitio como http://example.com o http://www.example.com , siempre coincidirá con lo que configuraste en la configuración de la aplicación. ¿Por qué? porque $_SERVER ['SERVER_NAME'] devolverá el dominio con o sin www dependiendo de cómo el usuario haya introducido la url en el navegador.

Estos son mis hallazgos y esto es lo único que funcionó para mí sin eliminar la comprobación de CSRF y hasta ahora, no hay problemas.

I espero que esto ayude.

Arreglo fácil para mí. Cambié:

$loginUrl = $helper->getLoginUrl('http://www.MYWEBSITE.ca/index_callback.php', $permissions);

A:

$loginUrl = $helper->getLoginUrl('http://MYWEBSITE.ca/index_callback.php', $permissions);

Eliminar el 'www' solucionó el problema.

En mi caso he comprobado error y encontrado error que me llevan a la solución con la ejecución de código:

date_default_timezone_set('Europe/Istanbul');

Antes del script. Funcionó a las mil maravillas. Para comprobar su ubicación: zonas horarias.Europa.php

El error se activa si el nombre de host de origen es diferente del nombre de host de destino [como Souch mencionó]. Cuando los visitantes escribieron en el cuadro de dirección URL como " http://website.com "eso es diferente de" http://www.website.com ". Los redirigimos a la URL correcta, agregando los siguientes códigos en la posición superior antes de session_start ().

  if($_SERVER['HTTP_HOST']!=='www.website.com'){
  header('location: http://www.website.com');
  }

Yii2 solución que funciona para mí:

use Facebook\PersistentData\PersistentDataInterface;
use Yii;

class PersistentDataHandler implements PersistentDataInterface
{
    /**
     * @var string Prefix to use for session variables.
     */
    protected $sessionPrefix = 'FBRLH_';

    public function get($key)
    {
        return Yii::$app->session->get($this->sessionPrefix . $key);
    }

    public function set($key, $value)
    {
        Yii::$app->session->set($this->sessionPrefix . $key, $value);
    }
}

Tuve el mismo error, porque olvidé agregar " www."a la dirección del remitente. En la configuración de Client-OAuth debe haber un nombre correcto.

Este es un problema común que muchas personas enfrentan en la Api de FB. esto es solo un problema de SESIÓN. Para resolver este problema, agregue un código como.

En el script de devolución de llamada normalmente fb-devolución de llamada.php agrega "session_start ();" justo antes de incluir el archivo de carga automática de facebook. y luego " _ _SESSION ['FBRLH_state']= _ _GET['state'];" después de la línea "helper helper = f fb->getRedirectLoginHelper ();".

Ejemplo:

<?php 
session_start();
include 'vendor/autoload.php';
include 'config.php'; /*Facebook Config*/
$helper = $fb->getRedirectLoginHelper();
$_SESSION['FBRLH_state']=$_GET['state'];
try {
  $accessToken = $helper->getAccessToken();
} ?>

Podría ayudar a alguien, que está utilizando Javascript Helperen frontend para autenticar al usuario y en PHP uno está tratando de extraer access_tokende Redirect Login Helper. Así que utilice siguiente

getJavaScriptHelper();

En lugar de

getRedirectLoginHelper();

SOLUCIÓN PARA PROBLEMAS INTERMITENTES

Estaba a) redirigiendo al enlace de inicio de sesión de Facebook, b) redirigiendo desde el inicio de sesión.php a main.php. Los usuarios viajarían a main.php y algunas otras páginas, luego haga clic en volver atrás en el navegador.

Eventualmente, golpearían login.php con un montón de creds publicado, pero Facebook elimina el $_SESSION['FBRLH_state'] después de un solo éxito, así que aunque tenía el correcto $_GET['estado'], sería el error.

La solución es una) rastrea internamente si el usuario ha iniciado sesión y evita repetir la lógica de Facebook en el inicio de sesión.php, O b) realizar un seguimiento de todos los parámetros de estado recientemente válidos para ese usuario en particular (en una sesión tal vez) que fueron establecidos por Facebook y si el array _GET['state'] está en esa matriz, entonces haga esto:

$_SESSION ['FBRLH_state'] = {_GET['state'];

En este caso puede hacer esto de forma segura sin romper la protección CSRF.

Para mí establecer el estado de la sesión funcionó

Código completo (en la url de redirección php )

$accessToken = '';

$helper = $fb->getRedirectLoginHelper();

if(isset($_GET['state'])){

    $_SESSION['FBRLH_state']=$_GET['state'];
}


try {
    $accessToken = $helper->getAccessToken();
} catch ( Facebook\Exceptions\FacebookResponseException $e ) {
    // When Graph returns an error
    echo 'Graph returned an error: ' . $e->getMessage();

}

Si sigues viendo el error, simplemente limpia la caché de tu navegador. Cuando he solucionado el problema usando la solución enobrev, continuaba experimentando el error. Después de un tiempo he entendido que tenía que limpiar la caché y después de que he reiniciado el navegador funcionó!

Para mí el problema era diferente; (Yo era estúpido) Tuve una ventana emergente con inicio de sesión de Facebook y nuevamente botones de inicio de sesión de Facebook en la página de inicio de sesión/Registro.

• Cada vez que hago clic en el botón de Facebook en la ventana emergente de otras páginas funcionó bien.
• Pero, cuando hago clic en el botón de Facebook en la ventana emergente de la página de inicio de sesión/Registro, no funcionaría.

La razón era que había vuelto a instanciar los objetos de Facebook y getRedirectLoginHelper. Tuve que comentar estas declaraciones en las páginas de inicio de sesión/Registro, ya que ya estaba disponible.

$_SESSION['FBRLH_state']=$_GET['state'];

No Es el camino a seguir. Aunque funcionó.