代码之家  ›  专栏  ›  技术社区  ›  Shiraz Bhaiji

将敏感数据作为查询字符串参数发送

http-get query-string https ssl
  •  3
  • Shiraz Bhaiji  · 技术社区  · 15 年前

    我们正在审查一个系统的设计。需要验证我们认为可能存在的安全问题。

    在这个系统中,一些敏感信息以查询字符串的形式发送。问题是:

    • 当请求通过Internet时,即使请求通过HTTPS发送,也可以读取查询字符串参数吗?
    • 可以从客户机的浏览历史记录中读取查询字符串参数吗?
    3 回复  |  直到 13 年前
        1
  •  8
  •   Bruno    15 年前

    当您使用HTTPS时,在发送任何HTTP流量之前建立了SSL/TLS连接,因此整个请求(包括URL及其参数)将被加密,并且不可读。唯一可能被第三方看到的是服务器证书(这样他们可以看到主机名,但就是这个)。

    虽然有些浏览器可能有一些“安全浏览”选项,这些选项可能会自动删除某些HTTPS URL,但是浏览器的历史记录不受HTTPS的保护。这一点最终取决于浏览器及其配置。

        2
  •  0
  •   Jatin    13 年前

    如果在GET请求中传递敏感的详细信息,这当然是一个安全问题。 敏感数据不仅会缓存在用户的浏览器中,而且会缓存在任何代理服务器上,包括d-way和webserver日志中。

        3
  •  -1
  •   Raghuram    15 年前

    是的,第一次。不确定第二个-取决于浏览器,我想-但我怀疑,是的,这里也是。

    推荐文章
    Tom McLean  ·  如何使用证书管理器制作的证书在AWS上创建到mongodb实例的TLS/SSL连接?健康检查失败
    1 年前
    Yan  ·  我是否应该与CloudFlare共享我网站的SSL私钥以使用其CDN服务?
    1 年前
    Ilkhom Tashkulov  ·  MongoDB与Go的连接错误,ReplicaSetNoPrimary
    1 年前
    Yoocee Ansah  ·  当我尝试添加SSL身份验证时,“尝试在非套接字上执行操作”
    1 年前
    Raja  ·  在ESP8266上启用TLS时,WiFi管理器崩溃
    2 年前
    YK S  ·  与KMS服务器的ssl握手需要花费一些请求的时间(50秒)
    2 年前
    MJC  ·  EventSource消息的Python Flask服务器产生随机/重复的SSL错误:EOF违反协议
    2 年前
    Niamatullah Bakhshi  ·  如何在不需要删除现有映像的情况下更新Docker私有注册表的自签名SSL/TLS证书?
    2 年前
    self_learner_localhost  ·  curl、浏览器和移动应用程序使用哪个键值对和证书进行https调用?
    2 年前
    Peilin  ·  URLError:禁用了不安全的旧版重新协商(_SSL.c:1007)>
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号