使用TLS/SSL(HTTPS)加密时是否加密了所有URL?我想知道,因为我希望在使用TLS/SSL(HTTPS)时隐藏所有URL数据.
如果TLS/SSL为您提供全面的URL加密,那么我不必担心从URL隐藏机密信息.
当与请求一起发送时,查询字符串参数是否在HTTPS中加密?
我正在创建一个使用HTTPS的安全的基于Web的API; 但是,如果我允许用户使用查询字符串配置它(包括发送密码)这也是安全的,还是应该通过POST强制它?
我正在开发一个客户端/服务器应用程序,它将通过休息进行通信.一些自定义请求数据将存储在请求的标头中.发送请求的服务器和接收服务器都有SSL证书 - 标头是加密的,还是仅加密内容?
我知道查询字符串的最大长度因浏览器而异.Internet Explorer最多可包含2048个字符.
如果我在代码中执行URLEncode,这些编码字符是否会被视为额外字符?
例如,假设我有两个文本框.在通过查询字符串HttpUtility.UrlEncode(TextBox2.Text)传递文本框的值之前,我执行然后通过查询字符串将这些文本框值传递给另一个网页.
假设URL可能如下所示:WebForm2.aspx?Username=Kutti&Password=Pa%26%26word.
这个编码的东西%26%26是否会被视为URL中的额外字符?
换句话说,它会采取Pa%26%26word相同的字符Pa&&word吗?
如果我有一个脚本,我希望能够立即运行并在https上将其放在服务器的公共端,并且只要我保持自己的个人缓存不被窥探,那就像''一样安全在公共'脚本后面,我必须用用户名和密码登录才能实例化?
例如,考虑以下两种方法:
1)我用用户名:xxxxxxxx,密码:yyyyyyyy(用ssl或cpanel说,然后触发脚本)登录
2)我只是从我的iPhone上运行这条路径,https://www.iamsilly.com/xxxxxxxx/yyyyyyyy/myscript.php
消除某人可能拿起我的iPhone并查看我的历史记录的可能性,这两种安全系统之间的安全级别是否存在实际差异?复杂性不完全相同吗?https是否加密不足以使https复杂性与登录一样安全?
谢谢,如果这个话题已被谈到死亡,我道歉,但在阅读了大量关于它的帖子之后,我仍然不太明白!
编辑:请记住,8x8随机双目录的路径有7个quintillion(70亿亿亿)组合,只有当我使用字母和数字字符.
是否可以在ac#asp.net站点的查询字符串中安全地包含密码.
我知道的一些假设和事情 -
我知道该网站可能容易受到跨站点脚本和重放攻击.我该如何减轻这些?
鉴于上述情况,我应该如何在查询字符串中包含密码?
请不要问我'为什么',我知道这不是一个好主意,但它是客户想要的.
场景:
我有一个带有webservices的ASP.Net/Silverlight网站,用于支持带有数据的Silverlight应用程序.该网站使用表单身份验证,因此Web服务也可以对请求进行身份验证.
现在我想从这个系统中将一些数据提取到Android应用程序中.我可以实现运行表单登录的代码,并存储身份验证cookie,但在webservice url中发送用户名和密码并验证每个调用实际上要简单得多.我并没有真正看到这个问题,因为通信是SSL加密的,但我很开放,否则会被说服;)
你怎么看 ?不好主意/没那么糟糕的主意?
结论:
在查看答案后,url请求字符串中针对name/pass的唯一真正有效的参数是它存储在服务器日志文件中.当然,这是我的服务器,如果该服务器被黑客入侵,它存储的数据也将被黑客攻击,但我仍然不喜欢日志中显示的密码.(这就是为什么它们被存储盐渍和加密)
解:
我将发布用户名和passord请求.最少的额外工作,更安全.
asp.net ×3
https ×3
query-string ×3
ssl ×3
c# ×2
security ×2
android ×1
encryption ×1
http ×1
http-get ×1
httprequest ×1
passwords ×1
php ×1
rest ×1
url-encoding ×1
web-services ×1