程序员经验分享-hwhale

HTTPS 查询字符串安全吗?

2023-11-27

我正在创建一个使用 HTTPS 的基于安全 Web 的 API;但是,如果我允许用​​户使用查询字符串配置它(包括发送密码),这也是安全的还是我应该强制它通过 POST 完成?


是的。但对敏感数据使用 GET 并不是一个好主意有几个原因:

  • 主要是 HTTP 引荐来源网址泄漏(目标页面中的外部图像可能会泄漏密码[1])
  • 密码将存储在服务器日志中(这显然是不好的)
  • 浏览器中的历史缓存

因此,即使查询字符串是安全的,也不建议通过查询字符串传输敏感数据。

[1] 尽管我需要注意 RFC 规定浏览器不应将引荐来源网址从 HTTPS 发送到 HTTP。但这并不意味着不良的第 3 方浏览器工具栏或来自 HTTPS 站点的外部图像/Flash 不会泄漏它。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

SSL

https

querystring

HTTPS 查询字符串安全吗? 的相关文章

随机推荐

  • 带均衡器的声音[关闭]

    Closed 这个问题不符合堆栈溢出指南 目前不接受答案 我正在尝试使用 C 创建均衡器 经常看 NAudio 但是我找不到任何可以与 NAudio 配合使用的均衡器 考虑到我有点迷失 我来这里是想询问一种在 C 中创建或实现均衡器的方法

  • C 中的 asm“‘mov’的内存引用太多”

    我看过关于相同错误的帖子 但我仍然收到错误 too many memory references for mov junk hCPUIDmov buffer after expression 这是代码 mingw 编译器 C B inclu

  • 如何使用个人访问令牌在 github 操作工作流程 (B) 中从不同的存储库 (B) 提交并推送到私有存储库 (A)

    name deploy me on push jobs deploys me runs on ubuntu latest steps uses actions checkout v2 uses actions setup node v2 w

  • PHP 数组的问题,其中键是大整数

    我在这里想做的基本上是从 stats并得到一个数组 counts包含四个数组 其中每个数组都是一对 key 是时间戳 以毫秒为单位 而值是计数 我在 Windows 7 x64 上使用 PHP 版本 5 3 14 问题是 为什么我得到负数数

  • 是否有用于向任务栏图标添加徽章的 Windows API?

    Spotify 最近添加了一项功能 任务栏图标将有一个红色 iOS 风格的徽章 上面标有收件箱中的歌曲数量 徽章本身肯定是图标的一部分 但我想知道是否可以通过官方 API 添加该数字 如果没有 他们会怎么做 我的收件箱中从来没有超过几首歌曲

  • VB .NET 通过字符串值访问类属性

    我有一个更新数据库中客户端的功能 传入客户端对象以及应更新的字段 属性的字符串数组 我需要一种根据数组中的内容来访问客户端对象中的每个属性的方法 基本上 我正在寻找与此 javascript 等效的 VB NET var fields Fi

  • 强制 python 使用旧版本的模块(比我现在安装的模块)

    My employer has a dedicated module1 we use for internal unit system test however the author of this module no longer wor

  • 使用 jQuery 验证插件验证单选按钮组

    如何使用 jQuery 验证插件对单选按钮组 应选择一个单选按钮 进行验证 对于较新版本的 jquery 我认为是 1 3 您所要做的就是将无线电集的成员之一设置为必需 jquery 将处理其余的事情

  • Laravel 8 中的 Composer.json 文件损坏

    当我尝试删除包裹时maatwebsite excel在我的项目中 我严重损坏了一些东西 问题是我无法跟踪我所做的更改 在我删除之前maatwebsite excel从composer json中 我删除了phpoffice phpsprea

  • SQL 2008 VS 2012 错误:关键字“COMPUTE”附近的语法不正确

    我的朋友向我发送了他在服务器 2008 中编写的命令 它们运行没有问题 但是我的副本和过去的命令在 2012 中不起作用 有什么原因吗 这是代码 Use Kudler Database SELECT AccountNumber Descri

  • Firestore 的集合组权限

    我有这些规则 match suuntoAppAccessTokens userName allow create if request auth uid null request auth token firebase sign in pr

  • 如何在多个项目之间共享 sbt 插件配置?

    我们有许多较小的 sbt 项目 我们希望将它们分开 没有多项目构建 然而 我们希望在构建之间共享配置 为此 我们目前还有另一个项目 所有项目都将其用作其 project project Build scala 文件中的库依赖项 通过这种方式

  • 实体类型 ApplicationUser 不是当前上下文模型的一部分

    我正在从 Identity 1 0 0 迁移到 Identity 2 0 1article 并且生成的迁移代码与新的 IdentityUser 无关 它不会添加新列 所以我创建了一个新项目并再次尝试 但迁移代码是空的 为了解决这个问题 我直

  • 如何在android中以编程方式增加铃声和通知音量

    我正在尝试启用铃声正常模式并以编程方式增加音量 AudioManager mobilemode AudioManager mContext getSystemService Context AUDIO SERVICE int streamM

  • AVFoundation 相机预览层不起作用

    所以 我正在尝试使用 AVFoundation 实现相机 我想我做的一切都是对的 这就是我正在做的事情 创建会话 获取视频类型的设备 循环遍历设备以获取后面的摄像头 使用 3 中提到的设备获取设备输入并将其添加到会话中 创建类型的输出AVC

  • 将 JSON 字符串解析为对象的最简单的 C# 函数是什么? [关闭]

    Closed 这个问题不符合堆栈溢出指南 目前不接受答案 将 JSON 字符串解析为对象并显示它的最简单的 C 函数是什么 C XAML WPF 例如具有 2 个数组的对象 arrA 和 arrB 只需使用Json NET图书馆 它可以让你

  • 异常消息:发生某种磁盘 I/O 错误

    当我尝试在 SQLite 数据库上运行更新查询时 出现此错误 这只发生在 XP 上 在 Vista 上工作正常 数据库创建没有任何问题 插入也工作正常 我还检查过 我有可用的权限和磁盘空间 正如 sqlite org 所说 这些是可能的原因

  • 使用 smoothScatter 生成的颜色密度散点图的 R 图例

    我正在 R 中使用以下命令生成颜色密度散点图smoothScatter 功能 Example A largish data set n lt 10000 x1 lt matrix rnorm n ncol 2 x2 lt matrix rn

  • 如何覆盖 Google 地图中的 KML 颜色?

    我正在通过 Google 地图的 V3 API 加载 KML 文件 正在使用 KML 文件中的颜色 但我想用我自己的颜色覆盖它 我实际上想对整个轨迹使用纯色 有没有办法做到这一点 KML colors are based on Stylea

  • HTTPS 查询字符串安全吗?

    我正在创建一个使用 HTTPS 的基于安全 Web 的 API 但是 如果我允许用 户使用查询字符串配置它 包括发送密码 这也是安全的还是我应该强制它通过 POST 完成 是的 但对敏感数据使用 GET 并不是一个好主意有几个原因 主要是

热门标签