kha*_*iuk 1 security rest restful-authentication rest-security
我们当前的 REST API 实现使用 queryString 中的 apiKey 来处理所有类型的请求(PUT、POST、GET)。我觉得这是错误的,但无法解释原因(也许 apiKey 可以在服务器和客户端之间的某个地方兑现)。就像是:
POST /objects?apiKey=supersecret {name: 'some'}
那么,这是一个安全问题吗?请描述 HTTP 和 HTTPS 连接情况
HTTP协议
每当您从客户端发送到服务器时,您的超级秘密值都可以被第三方看到并拦截,反之亦然,无论您是否使用 PUT、POST 等。当您使用 cookie 来存储这些值而不是查询字符串时,情况更是如此。 。
HTTPS:
当数据在客户端和服务器之间传输时,由于受 https 保护,因此无法被拦截,即使它位于查询字符串中。但大多数人认为在查询字符串中发送数据是不好的,因为许多系统都会记录查询字符串。例如,大多数服务器都配置为打印带有路径和查询参数的访问日志。此外,如果它来自浏览器,它可以存储在您的浏览器历史记录中。
| 归档时间: |
|
| 查看次数: |
2215 次 |
| 最近记录: |