我正在使用Firefox中的XmlHttpRequest向服务器发出PROPFIND Ajax请求。服务器正在使用基本身份验证。我将凭据传递给open方法:
xhr.open("PROPFIND", "https://serv/folder/", false, "User1", "password");
使用Fiddler我发现请求如下所示:
PROPFIND https://User1:password@serv/folder/
据我所知,在url中传递登录名和密码是没有意义的。我认为这是一个FireFox错误。
如果我使用SSL,是否会带来任何安全风险?
答案 0 :(得分:0)
是使用URL发送用户名密码存在安全风险,即使您使用的是SSL。 大多数路由器和get-way,firwall / server都会记录请求url,因此如果用户名和密码附加了url作为查询字符串,则可以记录它。 但是,如果可以将凭证作为发布数据发送,并使用SSL,则数据会被加密,因此在传输过程中不可见。