如果网站发出GET请求,从HTTPS页面到另一个HTTPS页面,是否安全?具体来说,URL /查询参数中的数据是否安全?
我问,因为我打电话给Stripe.createToken,连接到一个带有信用卡号的网址。即使查询参数显示_method = POST,它也通过GET查询参数传输:
Request URL: https://api.stripe.com/v1/tokens?card[number]=4242424242424242&card[cvc]=123&card[exp_month]=4&card[exp_year]=2016&key=pk_test_1236&callback=sjsonp11234&_method=POST
Request Method: GET
Status Code: 200 OK
现在,我知道这是全部通过HTTPS,但不是URL部分不安全吗?我认为URL会在到目的地的途中被记录在各个地方。
答案 0 :(得分:3)
网址通常会记录在网络服务器日志中。将该信息作为GET请求的一部分发送是一个非常糟糕的主意。然而,客户端和目标之间的请求的跃点是加密的。因此,假设没有Web代理或任何其他可能记录的地方都在https://api.stripe.com/的网络服务器上。
有关详细信息,请参阅Are querystring parameters secure in HTTPS (HTTP + SSL)? 。
答案 1 :(得分:1)
来自条纹:
由于HTTPS工作方式的性质,以明文形式传输到HTTPS连接的唯一信息是您要连接的主机名(在本例中为“api.stripe.com”)。通信的所有其他部分(包括完整的URL)都经过加密,因此它们只能由我们的服务器解密。在传输级别,包括持卡人详细信息,因为URL的GET参数与在POST主体中包含它们没有什么不同。我们只使用JSONP for Stripe.js而不是任何服务器端绑定,以防您担心服务器日志中出现这些请求。
一旦细节到达我们的服务器,我们就对服务器上的配置进行了更改,以确保永远不会记录查询字符串,并且我们有一些例程可以检查所有日志文件是否意外包含了卡号。我们与我们的PCI审核员(也审核Google,Apple和AWS)合作,以确保其符合PCI标准,并确信我们以安全的方式处理持卡人数据。