Genaral练习是指当您登录或执行其他需要您的用户名和密码的操作时,您将其发送到帖子请求的正文中。另外,为了增加安全性,应该使用https。
在get请求中,这些参数作为URL的一部分发送。但是在https中,正如我所理解的那样,正文和标题都是加密的。
所以从理论上讲,无论你使用https发布还是发送,你的数据都是安全的......在一种情况下,攻击者必须在你的标题和你的身体其他部分进行描述。
所以我的问题是,如果这一切都是真的,那么帖子会更安全吗?
答案 0 :(得分:7)
除了其他人已经写过的内容之外,还有另外一点,即在webservers日志文件中,大多数情况下都会记录整个URL,因此任何有权访问日志文件的人都可以读取登录凭据。此外,如果页面上有一些流量分析工具(例如谷歌分析或其他),那么也会在那里报告呼叫网址 - >那些人也可以阅读登录凭证(他们甚至可能在流量分析中出现)。
答案 1 :(得分:3)
GET记录在浏览器的历史记录中。有人可能会查看您的冲浪历史记录并查看您的密码。
答案 2 :(得分:1)
在密码输入字段中显示****
的相同原因......
如果您通过GET发送凭据,任何查看用户肩膀的人都可以在URL栏中看到密码(或者密码的哈希值,具体取决于您执行登录的方式)。
答案 3 :(得分:1)
在GET请求中放置内容的要点是能够为结果添加书签。这非常适合搜索结果,而不是登录请求。然后,理论上,共享该URL将允许任何人使用您的用户名和密码登录。