我正在创建一个使用 HTTPS 的基于安全 Web 的 API;但是,如果我允许用户使用查询字符串配置它(包括发送密码),这也是安全的还是我应该强制它通过 POST 完成?
是的。但对敏感数据使用 GET 并不是一个好主意有几个原因:
- 主要是 HTTP 引荐来源网址泄漏(目标页面中的外部图像可能会泄漏密码[1])
- 密码将存储在服务器日志中(这显然是不好的)
- 浏览器中的历史缓存
因此,即使查询字符串是安全的,也不建议通过查询字符串传输敏感数据。
[1] 尽管我需要注意 RFC 规定浏览器不应将引荐来源网址从 HTTPS 发送到 HTTP。但这并不意味着不良的第 3 方浏览器工具栏或来自 HTTPS 站点的外部图像/Flash 不会泄漏它。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)