我们正在审查系统的设计。并且需要验证我们认为可能是安全问题的内容。
在此系统中,一些敏感信息将在查询字符串中发送。问题是:
答案 0 :(得分:8)
使用HTTPS时,会在发送任何HTTP流量之前建立SSL / TLS连接,因此整个请求(包括URL及其参数)将被加密且无法读取。第三方可能唯一可见的是服务器证书(因此他们可以看到主机名,但就是这样)。
虽然某些浏览器可能有一些“安全浏览”选项可能会自动删除某些HTTPS URL,但浏览器的历史记录不会受到HTTPS的任何保护。这个最终取决于浏览器及其配置。
答案 1 :(得分:0)
如果在get请求中传递敏感详细信息,这肯定是一个安全问题。 敏感数据不仅会缓存在用户的浏览器中,还会缓存在任何代理中,也可以在网络服务器日志中加载
答案 2 :(得分:-1)
对于第一个是的。不确定第二个 - 取决于浏览器,我猜 - 但我怀疑,是的,这里也是。