来自 奥门威尼斯网址 2019-09-11 14:54 的文章
当前位置: 威尼斯国际官方网站 > 奥门威尼斯网址 > 正文

Get要求与Post央浼的分别,传敏感数据

即接纳了 https 也不要通过 query strings 传敏感数据

2017/10/16 · 基本功本事 · HTTPS

本文由 伯乐在线 - 奥门威尼斯网址 ,xiaoheike 翻译,艾凌风 校稿。未经许可,禁止转发!
意国语出处:HttpWatch。接待参与翻译组。

劳务器端的 log 将公开记下完整 url;浏览器上的拜会历史也会公然记下完整 url;Referrer headers 里也忠实记下全体 url,然后在外人家的 GoogleAnalytics 上显得。

我们平常听到的一个科学普及难点是:“URL 中的参数是还是不是能够安全地传递到平安网址?”那些难题平日出现在客商看了 HttpWatch 捕获的 HTTPS 央求后,想驾驭还应该有哪个人能够见到这个多少。

 

举例,假使在一个查询中,使用如下安全的 URL 传递密码字符串:

HttpWatch 能够展现安全央浼的内容,因为它与浏览器集成,因而它亦可在 HTTPS 请求的 SSL 连接对数码加密从前查看数据。奥门威尼斯网址 1

若是您利用互连网嗅探器查看,举例 Network Monitor,对于同二个央求,你只好够查阅加密随后的数码。在数额包追踪中并未有可知的网站,标题或内容:

奥门威尼斯网址 2

你能够信任 HTTPS 央浼是平安的,只要:

  • 未忽略任何SSL证书警告
  • Web 服务器用于运行 SSL 连接的私钥在 Web 服务器本身之外不可用。

故此,在网络规模,URL 参数是安枕无忧的,然则还应该有一点其余依照 URL 泄漏数据的不二等秘书诀:

  1. URL 存款和储蓄在 Web 服务器日志中–平时各类央浼的总体 URL 都被存放在在服务器日志中。那代表 URL 中的任何敏感数据(举例密码)会以公开格局保留在服务器上。以下是运用查询字符串通过 HTTPS 发送密码时存款和储蓄在 httpwatch.com 服务器日志中的条约: **二零零六-02-20 10:18:27 W3SVC4326 WWW 208.101.31.210 GET /Default.htm password=mypassword 443 … 日常感到就算是在服务器上,仓库储存明文密码一直都不是好主张 2.URLs are stored in the browser history – browsers save URL parameters in their history even if the secure pages themselves are not cached. Here’s the IE history displaying the URL parameter:
  2. URL 存款和储蓄在浏览器历史记录中–尽管安全网页本人未缓存,浏览器也会将 URL 参数保存在其历史记录中。以下是 IE 的历史记录,展现了 URL 的乞请参数:奥门威尼斯网址 3

设若顾客创制书签,查询字符串参数也将被寄放。

  1. URLReferrer 央浼头中被传送–假设四个平安网页使用能源,举个例子 javascript,图片也许剖析服务,URL 将通过 Referrer 乞请头传递到各样内置对象。一时,查询字符串参数可能被传送并存放在第三方站点。在 HttpWatch 中,你能够看到大家的密码字符串正被发送到 Google Analytics奥门威尼斯网址 4

结论

竭泽而渔这一个主题素材供给两步:

  • 除非在相对供给的情事下传递敏感数据。一旦顾客被验证,最好使用全体有限生命周期的会话 ID 来标志它们。

动用会话层级的 cookies 传递消息的独到之处是:

  • 它们不会蕴藏在浏览器历史记录中或磁盘上
  • 它们平日不存款和储蓄在服务器日志中
  • 它们不会传递到嵌入式财富,比方图片或 JavaScript
  • 它们仅适用于央浼它们的域和路径

以下是大家的在线商城中,用于识别客商的 ASP.NET 会话 cookie 示例:

奥门威尼斯网址 5

请注意,cookie 被限定在域 store.httpwatch.com,何况在浏览器会话停止时过期(即不会累积到磁盘)。

你本来能够由此 HTTPS 传递查询字符串,但是绝不在只怕出现安全难点的景色下使用。比方,你能够安枕无忧的运用它们呈现部分数字依旧项目,像 accountview 或者 printpage,不过不用使用它们传递密码,银行卡号码可能别的不应该掌握的音讯。

1 赞 收藏 评论

转载自

关于作者:xiaoheike

奥门威尼斯网址 6

简要介绍还没来得及写 :) 个人主页 · 小编的文章 · 10 ·      

奥门威尼斯网址 7

Get是向服务器发索取多少的一种诉求,而Post是向服务器交由数据的一种必要;

Get是获取新闻,并不是修改新闻,类似数据库查询效率雷同,数据不会被退换;

Get乞请的参数会跟在url后举办传递,央求的数据会附在UCRUISERL之后,以?分割U奥迪Q3L和传输数据,参数之间以&相连,%XX中的XX为该符号以16进制表示的ASCII,假诺数量是塞尔维亚(Serbia)语字母/数字,原样发送,假若是空格,转变为+,固然是普通话/别的字符,则直接把字符串用BASE64加密。

Get传输的数码有大大小小限制,因为GET是透过U中华VL提交数据,那么GET可交付的数据量就跟U福睿斯L的尺寸有一向涉及了,分歧的浏览器对U凯雷德L的长短的限制是不相同的。

本文由威尼斯国际官方网站发布于奥门威尼斯网址,转载请注明出处:Get要求与Post央浼的分别,传敏感数据

关键词: