4

この仕様では、次のような場所から返されるURIのusername:passwordをどうするかについては言及されていません。

Location: http://user:secret@w3.org/hidden/pages

私たちはそのようなことを無視することになっていますか?それは意味をなさないようですが、それが起こったらどうなるのだろうと思っていました(つまり、サーバーの設定ミス、管理者/プログラマーからの奇妙なアイデア...)

14.30 Location

The Location response-header field is used to redirect the recipient
to a location other than the Request-URI for completion of the request
or identification of a new resource. For 201 (Created) responses, the
Location is that of the new resource which was created by the request.
For 3xx responses, the location SHOULD indicate the server's preferred
URI for automatic redirection to the resource. The field value
consists of a single absolute URI.

       Location       = "Location" ":" absoluteURI

An example is:

       Location: http://www.w3.org/pub/WWW/People.html

      Note: The Content-Location header field (section 14.14) differs
      from Location in that the Content-Location identifies the original
      location of the entity enclosed in the request. It is therefore
      possible for a response to contain header fields for both Location
      and Content-Location. Also see section 13.10 for cache
      requirements of some methods.
4

1 に答える 1

1

RFC 2617に答えがあるかもしれません。セクション 3.3から:

...For example
a server could be responsible for authenticating content that
actually sits on another server. It would achieve this by having the
first 401 response include a domain directive whose value includes a
URI on the second server, and an opaque directive whose value
contains the state information. The client will retry the request, at
which time the server might respond with a 301/302 redirection,
pointing to the URI on the second server. The client will follow the
redirection, and pass an Authorization header , including the
<opaque> data.

Locationしたがって、HTTP リダイレクトから返されるヘッダーには、実際には、user:secret@指定した URL の残りの部分だけを含める必要はなく、ユーザー (クライアント) がユーザーを記憶する責任があることを意味すると解釈します/passAuthorizationリダイレクトされた元のリクエストのヘッダーで送信し、2 番目のリクエストで同じヘッダーを再度渡します。

アップデート

また、RFC 2396 セクション 3.2.2には、URL でのユーザー/パスワードの使用に関するいくつかの言葉があります。

Some URL schemes use the format "user:password" in the userinfo
field. This practice is NOT RECOMMENDED, because the passing of
authentication information in clear text (such as URI) has proven to
be a security risk in almost every case where it has been used.
于 2013-03-09T07:14:44.360 に答える