【发布时间】:2019-04-29 16:03:56
【问题描述】:
正如标题所说。您是否应该在 GET 请求的 url 中传递身份验证令牌?那么中间人攻击呢?还是数据包嗅探?所有包括使用 HTTPS 包装的请求
【问题讨论】:
【发布时间】:2019-04-29 16:03:56
【问题描述】:
当您使用 https 时,GET 和 POST 对于中间人攻击同样安全,因为有效负载是加密的,除了拥有私钥的接收者之外没有人可以看到数据。
使用 GET 访问的 url 存储在浏览器历史记录中,也可以(意外地)与其他人共享(另见 Session Hijacking)。所以我不会将身份验证信息作为查询参数传递,而是使用 http 标头 cookie 或不存储在浏览器历史记录中的东西。如果您必须这样做,您应该确保身份验证信息在一段时间后失效。
【讨论】: