我的一位同事说使用spring默认登录输入参数是一种安全隐患。我没有问他为什么。我不相信,因为https连接会在发布时加密params。一些澄清会有所帮助。感谢。
答案 0 :(得分:0)
如果没有解释为什么他认为可能存在风险,那就很难说了。
唯一(非常小的)问题可能是有人可能会看到它们并且能够猜测您正在使用Spring Security。但这本身并不存在风险。标准Java EE servlet安全性还使用j_username和j_password作为登录参数。
在任何情况下,您都可以更改配置中的名称以及表单提交的URL。你也可以change the session cookie name使你甚至不再使用Java应用程序。当然,如果你的应用程序有.jsp个URL并且在出现问题时将堆栈转移回用户,那么这一切都不重要。
我会请你的同事解释自己并为他的主张提供一些证据,以及为什么他认为这是一个问题。更改参数是一个好主意,但如果你不这样做,它不太可能成为主要风险。