为了账号安全,请及时绑定邮箱和手机立即绑定

HTTPS查询字符串是否安全?

首页 猿问 HTTPS查询字符串是否安全?

HTTPS查询字符串是否安全?

Html/CSS
慕田峪9158850 2019-06-25 13:48:16
HTTPS查询字符串是否安全?我正在创建一个使用HTTPS的基于Web的安全API;但是,如果我允许用户使用查询字符串配置它(包括发送密码),这是否也是安全的,还是应该强制通过POST来完成呢?
查看完整描述

3 回答

?
斯蒂芬大帝

TA贡献1827条经验 获得超8个赞

是的,是的。但是使用GET处理敏感数据是个坏主意。有几个原因:

  • 主要是HTTP引用程序泄漏(目标页面中的外部图像可能泄漏密码[1])
  • 密码将存储在服务器日志中(这显然是错误的)
  • 浏览器中的历史缓存

因此,即使Querystring是安全的,也不建议通过querystring传输敏感数据。

[1]尽管我需要注意的是,RFC声明浏览器不应该将引用从HTTPS发送到HTTP。但这并不意味着一个糟糕的第三方浏览器工具栏或外部图像/闪光灯从HTTPS网站不会泄露。


查看完整回答
反对 回复 2019-06-25
?
天涯尽头无女友

TA贡献1831条经验 获得超9个赞

从“嗅探网络数据包”的角度来看,GET请求是安全的,因为浏览器将首先建立安全连接,然后发送包含GET参数的请求。但是get url将存储在用户的浏览器历史记录/自动完成中,这不是一个存储密码数据的好地方。当然,这只适用于使用更广泛的“Webservice”定义(该定义可能从浏览器访问服务),如果只从自定义应用程序访问服务,这不应该是一个问题。

因此,至少对于密码对话框,最好使用POST。此外,正如在链接中指出的,发布的Littlegeek更有可能将GET URL写入您的服务器日志。


查看完整回答
反对 回复 2019-06-25
  • 3 回答
  • 0 关注
  • 336 浏览

相关问题推荐

为什么字体颜色在Eclipse上没有变化
慕课专栏
更多

添加回答

了解更多

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信