1

Firefox で XmlHttpRequest を使用して、PROPFIND Ajax リクエストをサーバーに送信しています。サーバーは基本認証を使用しています。認証情報を open メソッドに渡します。

xhr.open("PROPFIND", "https://serv/folder/", false, "User1", "password");

Fiddler を使用すると、リクエストが次のようになっていることがわかりました。

PROPFIND https://User1:password@serv/folder/

私が理解している限り、URL でログインとパスワードを渡すのは意味がありません。これは FireFox のバグだと思います。

SSL を使用している場合、セキュリティ上のリスクはありますか?

4

1 に答える 1

0

はい SSL を使用している場合でも、ユーザー名パスワードを url で送信することはセキュリティ上のリスクがあります。ほとんどのルーターと get-way 、firwall/server は要求 URL をログに記録するため、ユーザー名とパスワードにクエリ文字列として url が追加されている場合、ログに記録できます。ただし、資格情報を投稿データとして送信することが可能であり、SSL を使用してデータが暗号化されるため、送信中に表示されません。

于 2013-09-12T05:24:13.220 に答える