HTTPS,URL路径和查询字符串
这是我之前关于基于HTTPS的BASIC身份验证的问题的后续帖子
如果我使用HTTPS,资源和查询字符串的路径是否安全地传递到服务器?
即
URI: http:// server/path/to/a/resource?with = a&query = string
Server: server
path:/path/to/a/resource
query string: with = a&query = string
Lek*_*eyn 18
这是一个非常好的解释:http://answers.google.com/answers/threadview/id/758002.html#answer
摘要:只有主机和端口可以未加密显示.
简而言之,是的.但是,您不应将敏感数据存储在URL中,因为它可能在浏览器历史记录和服务器日志文件中可见.任何看着你肩膀的人都会看到它.
Rob*_*Rob 11
是的 - 整个会话都是安全和加密的,因此您发送的任何内容(包括查询字符串)都是不可读的.
如果您愿意,您可以通过使用Fiddler之类的内容来查看您在访问安全网址时生成的http/https流量.您通过HTTPS发送的任何内容都不会显示查询字符串,如下所示:
我访问的实际网址如下所示:
https://www.halifax-online.co.uk/_mem_bin/formslogin.asp?source=halifaxcouk&simigvis=
根据其他答案,您不应该在查询字符串中传递任何敏感信息,因为这可能存储在您的Web服务器日志文件中,因此如果您传递用户名/密码组合,任何可以访问您的日志的人都可以捕获该信息.这可能允许某人登录您的站点/应用程序,就像他们是其他人一样,即使您正在努力将密码作为盐渍哈希存储在数据库中,而不是明文.
| 归档时间: |
|
| 查看次数: |
5702 次 |
| 最近记录: |