【发布时间】:2015-03-14 02:11:21
【问题描述】:
我对网络安全知之甚少,我确实在努力学习。如果这是一个愚蠢的问题,我深表歉意。
如果有对我的网站/demo?name=Isaac 的请求,黑客是否能够以某种方式拦截该请求并推断“Isaac”作为名称传递?当然,找出某人的名字并不是什么大不了的事。但是将敏感信息作为 URL 参数传递会不会是一个糟糕的主意?还是安全的?
【问题讨论】:
-
任何在客户端和服务器之间传递的数据都可以被拦截,无论是在URL参数、表单数据、cookies、HTML、JavaScript、CSS、文件等中。尤其是如果数据没有通过HTTPS。不用说,敏感的东西只能通过 HTTPS。
-
@mason 好的,我实际上已经找到了一个更安全的替代解决方案来解决我正在尝试做的事情。但我还是很好奇。如果通过 HTTPS 传递 URL 参数,黑客会很难访问它们吗?还是我在很大程度上是安全的?
-
在 URL 参数中放入敏感内容通常仍然是个坏主意。如果此人将页面添加为书签,或将 URL 转发给其他人,则将包含该敏感信息。此外,你的目标应该是friendly URL's。
-
是的,我想。我正在通过将 CSRF 令牌作为 URL 参数传递来更新 CSRF 令牌(AJAX 请求登录使其无法在当前页面上更新,导致用户在下一个请求时退出),它只是感觉很脏,哈哈。谢谢!