代码之家  ›  专栏  ›  技术社区  ›  Shiraz Bhaiji

将敏感数据作为查询字符串参数发送

http-get query-string https ssl
  •  3
  • Shiraz Bhaiji  · 技术社区  · 14 年前

    我们正在审查一个系统的设计。需要验证我们认为可能存在的安全问题。

    在这个系统中,一些敏感信息以查询字符串的形式发送。问题是:

    • 当请求通过Internet时,即使请求通过HTTPS发送,也可以读取查询字符串参数吗?
    • 可以从客户机的浏览历史记录中读取查询字符串参数吗?
    3 回复  |  直到 12 年前
        1
  •  8
  •   Bruno    14 年前

    当您使用HTTPS时,在发送任何HTTP流量之前建立了SSL/TLS连接,因此整个请求(包括URL及其参数)将被加密,并且不可读。唯一可能被第三方看到的是服务器证书(这样他们可以看到主机名,但就是这个)。

    虽然有些浏览器可能有一些“安全浏览”选项,这些选项可能会自动删除某些HTTPS URL,但是浏览器的历史记录不受HTTPS的保护。这一点最终取决于浏览器及其配置。

        2
  •  0
  •   Jatin    12 年前

    如果在GET请求中传递敏感的详细信息,这当然是一个安全问题。 敏感数据不仅会缓存在用户的浏览器中,而且会缓存在任何代理服务器上,包括d-way和webserver日志中。

        3
  •  -1
  •   Raghuram    14 年前

    是的,第一次。不确定第二个-取决于浏览器,我想-但我怀疑,是的,这里也是。

    推荐文章
    Shushiro  ·  Linux Bash:cURL-如何将变量传递到URL
    7 年前
    masterach  ·  可观察对象是否发出get请求?
    7 年前
    user08152017  ·  HTTPS Get在使用nodejs连接Bing API时出现连接被拒绝错误
    7 年前
    midnightnoir  ·  使用新的HttpClient/HttpGetModule,“类型‘Object’不可分配给类型”
    7 年前
    ChrisP777  ·  http请求等待服务器响应的时间太长
    8 年前
    Ebrahim Amini Sharifi  ·  违反RFC 2109:主机>减号域不能包含任何点
    8 年前
    ikenator  ·  节点。js请求获取VAST标记
    8 年前
    Ke Vin  ·  原始异常:没有Http提供程序!在Angular2中尝试使用HTTP.GET使用REST服务
    8 年前
    Miril Terolli  ·  AJAX接收多个数据
    9 年前
    ka5050ro  ·  使用php将API数据放入表中
    9 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号