第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號(hào)安全,請(qǐng)及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個(gè)問題,去搜搜看,總會(huì)有你想問的

HTTPS查詢字符串是否安全?

HTTPS查詢字符串是否安全?

慕田峪9158850 2019-06-25 13:48:16
HTTPS查詢字符串是否安全?我正在創(chuàng)建一個(gè)使用HTTPS的基于Web的安全API;但是,如果我允許用戶使用查詢字符串配置它(包括發(fā)送密碼),這是否也是安全的,還是應(yīng)該強(qiáng)制通過POST來完成呢?
查看完整描述

3 回答

?
斯蒂芬大帝

TA貢獻(xiàn)1827條經(jīng)驗(yàn) 獲得超8個(gè)贊

是的,是的。但是使用GET處理敏感數(shù)據(jù)是個(gè)壞主意。有幾個(gè)原因:

  • 主要是HTTP引用程序泄漏(目標(biāo)頁面中的外部圖像可能泄漏密碼[1])
  • 密碼將存儲(chǔ)在服務(wù)器日志中(這顯然是錯(cuò)誤的)
  • 瀏覽器中的歷史緩存

因此,即使Querystring是安全的,也不建議通過querystring傳輸敏感數(shù)據(jù)。

[1]盡管我需要注意的是,RFC聲明瀏覽器不應(yīng)該將引用從HTTPS發(fā)送到HTTP。但這并不意味著一個(gè)糟糕的第三方瀏覽器工具欄或外部圖像/閃光燈從HTTPS網(wǎng)站不會(huì)泄露。


查看完整回答
反對(duì) 回復(fù) 2019-06-25
?
天涯盡頭無女友

TA貢獻(xiàn)1831條經(jīng)驗(yàn) 獲得超9個(gè)贊

從“嗅探網(wǎng)絡(luò)數(shù)據(jù)包”的角度來看,GET請(qǐng)求是安全的,因?yàn)闉g覽器將首先建立安全連接,然后發(fā)送包含GET參數(shù)的請(qǐng)求。但是get url將存儲(chǔ)在用戶的瀏覽器歷史記錄/自動(dòng)完成中,這不是一個(gè)存儲(chǔ)密碼數(shù)據(jù)的好地方。當(dāng)然,這只適用于使用更廣泛的“Webservice”定義(該定義可能從瀏覽器訪問服務(wù)),如果只從自定義應(yīng)用程序訪問服務(wù),這不應(yīng)該是一個(gè)問題。

因此,至少對(duì)于密碼對(duì)話框,最好使用POST。此外,正如在鏈接中指出的,發(fā)布的Littlegeek更有可能將GET URL寫入您的服務(wù)器日志。


查看完整回答
反對(duì) 回復(fù) 2019-06-25
  • 3 回答
  • 0 關(guān)注
  • 391 瀏覽
慕課專欄
更多

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購課補(bǔ)貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動(dòng)學(xué)習(xí)伙伴

 公眾號(hào)

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號(hào)