通过 GET 请求发送的 CAS 协议票证

【问题标题】:CAS Protocol ticket sent via GET request通过 GET 请求发送的 CAS 协议票证
【发布时间】:2021-04-13 09:03:23
【问题描述】:

来自CWE598 的敏感信息应使用 POST 请求发送。为什么CAS 协议使用如下图所示的 GET 请求发送票证值?在这种情况下是否应该被认为是安全的?来自图片:

“设置会话 cookie 并将浏览器转发回应用程序,并剥离服务票证。此可选步骤可防止浏览器地址栏显示 ST”

我的疑问是:如果浏览器已经发送了一个 GET 请求,包括 URL 中的票证值,票证可能已经记录在某个地方或者我错了吗?

【问题讨论】:

    标签: security get cas ticket-system


    【解决方案1】:

    为什么 CAS 协议使用如下图所示的 GET 请求发送票证值?

    服务票证没有任何“敏感”之处。

    我的疑问是:如果浏览器已经发送了一个 GET 请求,包括 URL 中的票证值,票证可能已经记录在某个地方或者我错了吗?

    这不是协议的一部分,取决于实现。 Apereo CAS 软件在“票务登记”中跟踪票证

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-04-08
      • 1970-01-01
      • 2021-12-30
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode