HTTPS 查询字符串安全吗? [英] Is a HTTPS query string secure?

问题描述

我正在创建一个使用 HTTPS 的基于 Web 的安全 API；但是，如果我允许用​​户使用查询字符串对其进行配置(包括发送密码)，这也是安全的，还是应该强制通过 POST 完成?

I am creating a secure web based API that uses HTTPS; however, if I allow the users to configure it (include sending password) using a query string will this also be secure or should I force it to be done via a POST?

推荐答案

是的.但对敏感数据使用 GET 是个坏主意，原因如下:

• 主要是 HTTP 引荐来源泄漏(目标页面中的外部图像可能会泄漏密码[1])
• 密码将存储在服务器日志中(这显然是错误的)
• 浏览器中的历史缓存

因此，即使 Querystring 是安全的，也不建议通过 querystring 传输敏感数据.

Therefore, even though Querystring is secured it's not recommended to transfer sensitive data over querystring.

[1] 虽然我需要注意 RFC 规定浏览器不应将引用从 HTTPS 发送到 HTTP.但这并不意味着糟糕的 3rd 方浏览器工具栏或来自 HTTPS 站点的外部图像/Flash 不会泄漏.

这篇关于HTTPS 查询字符串安全吗?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！