【发布时间】:2011-01-19 08:15:21
【问题描述】:
我有read 你不应该使用 get json 来检索敏感数据,而应该使用 json post。
我想知道您可以寄回的限制是多少。我知道http post有一个限制(我忘了多少)。
同样的限制是否适用于 json 帖子?
【问题讨论】:
标签: asp.net security json getjson
【发布时间】:2011-01-19 08:15:21
【问题描述】:
如果您通过未加密的 http 连接使用 JSON,那么无论是 POST 还是 GET,您的数据都将以明文形式发送,任何拥有network sniffer 的人都可以读取敏感数据.
【讨论】:
-
我刚刚阅读了您在问题中链接的文章 (haacked.com/archive/2009/06/25/json-hijacking.aspx),文章中描述的漏洞利用非常有趣。我认为即使通信是用 HTTPS 加密的,这个漏洞利用也会起作用。我想最好遵循建议并使用 POST(当然通过 https)使用 json 发送敏感数据。
-
是的,但我仍然想知道,如果您使用 POST 代替,他们对可以寄回多少的限制?
-
不,你不应该有任何限制。
作为 GET 或 POST 的一部分,您可以路由的数据没有限制。但是,我建议任何人说不要对敏感数据使用 GET 都是在误导你。特别是,
您当然可以对数据进行加密(即 HTTPS GET),使其他人无法查看。
您还可以指定缓存控制标头以防止其被缓存。
两者都应该消除对敏感性的任何担忧。此外,这不是 JSON 特定的东西。基于 REST 的 Web 服务访问可以以多种格式传输数据(JSON 和 XML 恰好是最流行的)。
【讨论】: