我正在创建一个使用HTTPS的基于API的安全web;然而,如果我允许用户配置它(包括发送密码)使用查询字符串这也将是安全的,或者我应该强制它通过POST?
当前回答
您可以发送密码作为MD5哈希参数与一些盐添加。在服务器端比较它的身份验证。
其他回答
是的。HTTPS会话的整个文本都由SSL保护。这包括查询和报头。在这方面,POST和GET完全相同。
至于你的方法的安全性,没有经过适当的检查,也很难说。
是的,从建立HTTPS连接的那一刻起,一切都是安全的。查询字符串(GET)作为POST通过SSL发送。
您可以发送密码作为MD5哈希参数与一些盐添加。在服务器端比较它的身份验证。
From a "sniff the network packet" point of view a GET request is safe, as the browser will first establish the secure connection and then send the request containing the GET parameters. But GET url's will be stored in the users browser history / autocomplete, which is not a good place to store e.g. password data in. Of course this only applies if you take the broader "Webservice" definition that might access the service from a browser, if you access it only from your custom application this should not be a problem.
所以使用post至少密码对话框应该是首选的。另外,正如littlegeek在链接中指出的那样,GET URL更有可能写入你的服务器日志。
是的,它是。但是对敏感数据使用GET是一个坏主意,原因如下:
主要是HTTP引用泄漏(目标页面中的外部图像可能泄漏密码[1]) 密码将存储在服务器日志中(这显然很糟糕) 浏览器中的历史缓存
因此,即使Querystring是安全的,也不建议通过Querystring传输敏感数据。
虽然我需要注意的是,RFC声明,浏览器不应该发送从HTTPS到HTTP的引用。但这并不意味着糟糕的第三方浏览器工具栏或HTTPS网站的外部图像/flash不会泄露它。
推荐文章
- 我可以把我所有的http://链接都改成//吗?
- 如何使用网络强制HTTPS。配置文件
- 摘要认证和基本认证的区别是什么?
- 浏览器会通过https缓存内容吗
- 没有为Android SSL连接找到信任锚
- 使用.htaccess和mod_rewrite强制SSL/https
- REST API最佳实践:查询字符串中的参数vs请求体中的参数
- 在尝试访问HTTPS url时,如何使用cURL处理证书?
- 在Java客户端中接受服务器的自签名ssl证书
- 如何从查询字符串读取值与ASP。网络核心?
- file_get_contents(): SSL operation failed with code 1, failed to enable crypto
- 如何与证书颁发机构签署证书签署请求?
- 通过URL和加密传递的HTTP基本身份验证凭据
- bundle安装失败,SSL证书验证错误
- 转义URL中的&号
