程序员经验分享-hwhale

在 URL 中传递用户名和密码以进行 HTTP 基本身份验证

2023-11-22

当传递 URL 中编码的用户名和密码时,例如:https://阿拉丁:[电子邮件受保护]/index.html

客户端实际上是否在授权标头中发送了此信息? 对于这种URL编码,服务器端需要进行怎样的处理呢?


客户端实际上是否在授权标头中发送了此信息?

这取决于客户是什么。如果客户端是浏览器,答案是否定的。这是实验结果:

  • 在 Chrome 中,不会发送任何授权标头。
  • 在 Firefox 中,不发送任何授权标头。 Firefox 还会提示确认对话框,因为主动发送身份验证信息很奇怪。
  • 在 Safari 中,不会发送任何授权标头。 Safari 也会首先显示一个警告页面,因为它怀疑该 URL 属于钓鱼网站。
  • 在 Opera 中,不发送任何授权标头。
  • 我使用的是 Mac,无法在 IE/Edge 上运行实验。但根据其他浏览器的合理行为,我猜 IE/Edge 也会有同样的行为。无论如何,如果有人进行实验并得到结果,我将不胜感激。

一般来说,出于安全考虑,浏览器会忽略URL中主动发送的认证信息。

然而,如果客户端是开发工具,则认证信息可以以base64编码并作为授权标头发送。这是一些实验结果:

  • 在curl中,是的,发送了授权标头。
  • 在 Postman 中,不发送任何授权标头。

是否发送授权标头取决于工具的设计。

对于这种URL编码,服务器端需要进行怎样的处理呢?

在服务器端,您需要做的就是从Authorization header中获取base64编码的字符串,对其进行解码,并检查它是否有效。

如果示例 URL 中使用 HTTP 协议,会有什么不同吗?

为了安全起见,是的,通过 HTTP 的授权标头是非常不安全的。 Base64编码/解码不会带来任何安全效益,任何人都可以解码。

否则,它们是相同的。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

http

httpheaders

basicauthentication

在 URL 中传递用户名和密码以进行 HTTP 基本身份验证 的相关文章

  • 如何通过javascript设置content-disposition = Attachment?

    我该如何设置content disposition attachment通过JavaScript 基本上 我想在页面通过 Javascript 加载后使用 Firefox 强制执行 另存为 操作 我怎样才能做到这一点 内容处置是响应头 ht

  • HttpGet 401 状态代码后跟 200 状态代码

    我使用 Apachage HttpComponent 访问 Web 服务时遇到奇怪的行为 我可以访问服务器日志 当我尝试连接到服务器并执行 httpGet 命令时 我可以在日志中首先看到 401 状态 http 未经授权 然后看到 200

  • $http.get 和 method:'GET' 之间的区别

    我正在使用 Spring Data REST 并有一个 MySQL DB 来管理我的数据 我使用 AngularJS 编写了第一页 并希望从数据库中获取数据 为了获取我的数据 我知道有两种不同的方式 http get http myURL

  • 身份验证中的随机数使用

    在基于摘要的身份验证中 随机数由服务器生成 然而 在基于 OAuth 的身份验证中 随机数是由客户端生成的 我想知道是否有人知道差异的原因 随机数用于使请求唯一 在没有随机数的身份验证方案中 恶意客户端可以生成一次请求并重放多次 即使计算成

  • GET 和 POST 方法的单独 Flask 路由

    在 Flask 中定义路由时 最好的做法是使用由多个 HTTP 方法定义的单个路由 并在该单个路由中使用显式逻辑处理不同的 HTTP 方法 例如 app route api users methods GET POST def users

  • 从浏览器中删除cookie?

    有什么方法可以指示网络浏览器完全delete一个人的cookie是用PHP设置的吗 我不想expiry或者等待浏览器closed 对于删除 我的意思是实际上不再将其列在 cookie 列表中 尝试这样删除所有 cookie foreach

  • 在Java中解析包含multipart/form-data请求体的字符串

    问题陈述 我认为标题说明了一切 我正在寻找解析 a 的方法String包含 multipart form data HTTP 请求的正文部分 IE 字符串的内容看起来像这样 xyzseparator blah Content Disposi

  • 在 Heroku 上获取客户端的真实 IP 地址

    在任何 Heroku 堆栈上 我想获取客户端的 IP 我的第一次尝试可能是 request headers REMOTE ADDR 当然 这是行不通的 因为所有请求都是通过代理传递的 所以替代方法是使用 request headers X

  • OkHttp如何获取Json字符串?

    Solution 这是我这边的一个错误 正确的方法是响应 body string 以外响应 body toString 我使用 Jetty servlet URL 是http 172 16 10 126 8789 test path jso

  • HttpRequest PUT内容到poco库中

    我想使用 HTTP PUT 请求将一些数据从 C 应用程序发送到服务器 我在用poco http pocoproject org我的应用程序中的网络库 我正在使用这个代码片段 HTTPClientSession session uri ge

  • 在golang中获取TTFB(第一个字节的时间)值

    我正在尝试获取 TTFB 值和 Connect 值 c exec Command curl w Connect time connect TTFB time starttransfer Total time time total o dev

  • 是否可以修改 $_SESSION 变量?

    恶意用户是否可以将 SESSION 在 php 中 变量设置为他想要的任何值 很大程度上取决于您的代码 有一点非常明显 SESSION username REQUEST username

  • 本地主机上的 .net HTTP_X_FORWARDED_FOR NULL

    抱歉 如果其他地方已经回答了这个问题 我找不到它 如果没有 我会尝试查找访问过该站点的机器的原始 IP 根据我的基本理解 变量HTTP X FORWARDED FOR无论代理和其他过滤器如何 都会显示用户的 IP 如果这是真的 我正在尝试对

  • 响应 301 永久移动

    我曾经得到以下对 php 请求的响应 回复

  • HTTP代理服务器

    我开始研究一个用 C 编写的非常基本的 HTTP 代理服务器 Edit 只是转发我的请求的东西 此时我很难理解如何继续 任何帮助都会有益的 看一眼micro proxy http acme com software micro proxy

  • 使用什么 API 在现有 MFC 应用程序中添加 HTTP 客户端支持?

    我最近接到一项任务 要添加与以下内容交互的能力网络地图服务 http en wikipedia org wiki Web Map Service到现有的 MFC 应用程序 我需要客户端 HTTP API 根据我的研究 领先的候选人似乎是CA

  • 如何使用 Ruby on Rails 3 检查 HTTP 请求的“Content-Length”字段?

    我正在使用 Ruby on Rails 3 在我的视图文件中我有以下代码 为了避免服务器过载 我会在服务器接收上传文件之前检查上传文件的大小 这是因为 按下表单的提交按钮 服务器会先完整接收文件 然后再检查文件 我知道一个HTTP 请求有标

  • PHP 中标头的使用

    非常简单的问题 这两个 PHP 版本 5 标头调用中哪一个是 最好的 header Not Modified true 304 header HTTP 1 1 304 Not Modified 我很确定第一个是最多价的 但只是好奇如果在 H

  • 使用 Anypoint Studio (MULE) 在本地主机上找不到资源

    我尝试按照 MuleSoft 网站上建议的教程进行操作 我首先从这个例子开始

  • ExoPlayer2 - 如何使 HTTP 301 重定向工作?

    我开始使用 ExoPlayer 来传输一些音频 一切都很顺利 直到我遇到一个带有 301 永久移动 重定向的 URL ExoPlayer2 默认情况下不处理该问题 我已经看过这个线程 https github com google ExoP

随机推荐

  • Struts2 文件上传最大大小

    我需要上传最多 10 MB 的文件 我使用了以下内容 在我的 struts xml 中 我配置如下

  • 让 VB6 显示哪个组件没有安装设计时许可证

    我继承了一个我正在尝试 制作 的 VB6 项目 构建在 制作 EXE 步骤中失败 并出现许可错误 License information for this component not found You do not have an app

  • C# 代码在后台以静默模式运行我的 installer.exe 文件,[重复]

    这个问题在这里已经有答案了 我有这个 C 代码 string desktopPath Environment GetFolderPath Environment SpecialFolder Desktop ProcessStartInfo

  • mysql中的同步存储过程执行

    我有一个存储过程mysql也就是说 执行需要同步的任务 这样 如果两个应用程序调用存储过程 则只有一个应用程序可以访问一段代码来执行该任务 而另一个应用程序将被阻止 直到第一个应用程序完成任务 DELIMITER CREATE PROCED

  • Visual C++:#include 来自同一解决方案中其他项目的文件

    我正在使用 Visual C 开发游戏 我在单独的项目中有一些组件 并设置了项目依赖项 如何 include 来自不同项目的头文件 我不知道如何在另一个项目中使用一个项目中的类 编译器的设置 在您想要 include 头文件的项目中anot

  • 如何在 Scala 中使用正则表达式进行模式匹配?

    我希望能够找到单词的第一个字母与组中的一个字母 例如 ABC 之间的匹配项 在伪代码中 这可能看起来像 case Process word gt word firstLetter match case a c A C gt case gt

  • 在 R markdown 中使用内联带空格的变量名称

    我怎样才能包含内联R引用包含空格或其他异常字符的变量名的代码 实际用例是Pr gt F 反引号是解决方案简单地R脚本 但当代码内联在 Markdown 文档中时它们似乎不起作用 这是一个例子 r df lt data frame mydat

  • 如何针对特定查询优化表?

    您使用哪些模式来确定频繁查询 如何选择优化因素 人们可以做出哪些类型的改变 这是一个很好的问题 虽然相当广泛 但也并不更糟 如果我理解你的意思 那么你是在问如何从头开始解决优化问题 首先要问的问题是 是否存在性能问题 如果没有问题 那么就完

  • Lambda 表达式和高阶函数

    如何使用带有闭包的 Java 8 编写支持将函数作为参数并返回函数作为值的方法 在 Java Lambda API 中 主类是java util function Function 您可以像使用所有其他引用一样使用对此接口的引用 将其创建为

  • Powershell 4 Get-ScheduledTask 和 Windows

    我认为无论您使用什么操作系统 如果安装了 Powershell 您都可以访问相同的默认 cmdlet 所以我想用获取计划任务在我的 Windows 7 机器上 我安装了 Powershell 4 但是 当我运行它时 我收到错误 Get Sc

  • iOS:自动布局导致 UIScrollView 不滚动

    我已经设置了一个UIScrollView我想用它水平显示 12 张图像 屏幕上只能显示 8 张 在下图中 您可以看到我遇到的问题 这使得我的滚动视图无法滚动 我的约束和UIScrollView我已将其添加到故事板上 我已经调用了以下方法 v

  • Play 框架 CORS 标头

    我正在尝试为我的 Play 框架应用程序设置 CORS 标头 具体来说我收到这个错误 cannot load http 127 0 0 1 9000 No Access Control Allow Origin header is pres

  • ActiveRecord::StatementInvalid: PG::Error: 错误: 列“id”中的空值违反了非空约束

    我在我的应用程序中经常收到以下错误 如果我重新启动 Rails 应用程序 此错误将在一段时间内不会出现 导轨 3 1 3 红宝石 1 9 3 ActiveRecord StatementInvalid PG Error 错误 空值 列 id

  • Objective C 中的动态特性

    我发现 Objective C 对象属性可以标记为 dynamic让编译器知道实现将在运行时可用 我想知道是否有一种方法可以告诉编译器对象上的所有属性都是动态的 而无需逐一显式指定它们 我没有预先提供属性列表 我知道如果我只使用这不会成为问

  • Spring 的 @Autowired 是一个巨大的性能问题吗?

    我有一个项目 我不知道 200 300 daos 服务 控制器 我使用 Autowired将所有内容连接在一起 而不是指定中的所有内容applicationContext xml 我的问题是 这对我的启动时间有多大的性能影响 删除所有的是否

  • MERGE 表,匹配时不执行任何操作

    我有一张桌子DOMAINS在 2 个不同的列模式中ID NAME CODE DESCRIPTION For any NAME存在于新模式中 它应该使用现有的ID没有任何合并 对于那些新的NAME记录 它应该插入ID来自旧模式 MERGE I

  • 在 PHP 中跨服务器传输会话

    我需要跨服务器传输用户会话 IE 如果用户登录 server1 并且该用户存在于 server2 中 那么我必须将用户会话详细信息传输到 server2 为此 我使用了以下技术 从 server1 将用户重定向到http server2 a

  • 如何回收我的 SqliteCommand 以加速此 Sqlite 批量插入 (iOS)?

    我使用下面的代码批量插入 30000 行 一次 1000 行 但它仍然没有达到应有的速度 在这个例子中提高 SQLite 的每秒插入性能 我可以看到他们正在创建SqliteCommand仅一次 然后通过重置并清除绑定来回收它 但是 我在 i

  • FacesContext 的生命周期?

    在经历javadoc 的FacesContext 我看到这句话 该实例保持活动状态 直到调用其release 方法为止 之后不允许进一步引用该实例 当 FacesContext 实例处于活动状态时 除了执行此 Web 应用程序的 Servl

  • 在 URL 中传递用户名和密码以进行 HTTP 基本身份验证

    当传递 URL 中编码的用户名和密码时 例如 https 阿拉丁 电子邮件受保护 index html 客户端实际上是否在授权标头中发送了此信息 对于这种URL编码 服务器端需要进行怎样的处理呢 客户端实际上是否在授权标头中发送了此信息 这

热门标签