我去的每个网站:microsoft.com,gmail,minecraft.net,yahoo.com,除了facebook,并查看某人的个人资料,个人资料页面的查询字符串是加密的。我的意思是个人资料页面名称是加密的。为什么是这样?为什么查询字符串不能像:www.minecraft.com/profilepage.aspx?ProfilePageName=Fred而不是www.minecraft.com/profilepage.aspx?mts=ee3234423edder3443e
对于我的网站,查询字符串就像pp = Fred一样简单,我担心这样做会带来安全风险。在那儿?或者网站是否过度保护?
答案 0 :(得分:2)
停止猜测个人资料页面。根据网站的不同,这可能是好事还是坏事
通过http referrer标头停止泄露用户名
如果用户可以更改其个人资料名称,则可以减少破坏(或出错)的可能性。例如 - 我是您网站的会员,我的名字是Bob。然后我把它换成布鲁斯。任何链接到Bob的人都可能获得404,或者可能获得另一个Bob