HTTP：为什么在GET请求中发送用户名和密码是错误的？ [英] HTTP: Why is it wrong to send a username and password in a get request?

问题描述

一般做法是，当您登录或执行其他需要用户名和密码的操作时，您会在POST请求正文中发送用户名和密码。此外，为了增加安全性，应使用https。

在GET请求中，这些参数作为URL的一部分发送。但据我所知，在HTTPS中，正文和标题都是加密的。

因此，理论上，无论您使用https POST还是GET进行发送，您的数据都是安全的……在一种情况下，攻击者必须破解您的标题，而在另一种情况下，攻击者必须破解您的正文。

所以我的问题是，如果这些都是真的，那么POST如何更安全？

推荐答案

撇开其他人已经写入的内容不谈，还有一点是，在WebServers日志文件中，最常见的是记录整个URL，因此任何有权访问日志文件的人都可以读取登录凭据。此外，如果页面上有一些流量分析工具(比如google analytics或其他工具)，那么呼叫URL也会在那里报告->这些人还可以阅读登录凭证(他们甚至可以在流量分析中看到)。

这篇关于HTTP：为什么在GET请求中发送用户名和密码是错误的？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！