クエリ文字列でユーザー名とパスワードを送信するのと、本文で複雑なオブジェクトとして送信するのとでは、セキュリティ面で違いがありますPOSTか?
私はを使用してHTTPSいます。
元:
myservices.com/auth?username=myname&password=mypass
リクエストからストリームを取得してオブジェクトに逆シリアル化するのとは対照的ですか?
方法はPOSTであり、使用HTTPSしているので、それは重要ですか?
質問する
161 次
3 に答える
2
大きな違いがあります。クエリ文字列はURLの一部です。これは、ブラウザの履歴とプレーンテキストのアドレスバーにあります。ブラウザの履歴を検査できる既知の攻撃があります。URLに機密データを入れないでください。
于 2012-07-03T16:22:55.440 に答える
1
前の回答に1つ追加します。URLは、サーバーアクセスログに記録される可能性も非常に高くなります。そのため、URL内の機密情報は、サーバーログにプレーンテキストで保存されます(どこかのデータベースで暗号化/ハッシュ化されるだけではありません)。
于 2012-07-03T16:28:13.270 に答える
0
HTTPSを介して情報を送信する方法は、次の形式です。
"adaadnajdkbjkbdbk27y27672323gyu2gugsgjuguq2e2eh2t67878et27tshjdgjg32766t17te76tgeuyg1et617e67t281te8t128et71te56t1267e71dvdhj12d672d7f12fd712dgugvduv217df76127dr6217712d6721dr716rd671r672d"
GETまたはPOSTメソッドに関係なく、唯一の違いは、機密データがURLで公開されることです。ブラウザの履歴には、ハッカーによって抽出される可能性のある機密データが保存されるため、これを使用することはお勧めしません。
于 2012-07-03T16:23:05.100 に答える