我正在开发一个移动应用,我已经在其中添加了自签名证书。我通过https方法获取所有数据。我发现我不能用Charles来攻击我的数据。
这是否意味着我可以将客户端密码设置为https url参数的一部分?这样安全吗?
答案 0 :(得分:1)
虽然HTTPS URL的查询部分已加密,但并不安全。
HTTPS不会加密URL的整个主机部分,网络使用URL的主机部分指向其他系统。主机部分以外的所有内容都经过加密,包括任何查询等。
但请注意,许多服务器会记录整个URL,包括查询,这代表了一个安全漏洞。因此,最好将敏感信息放在POST主体中。
答案 1 :(得分:-1)
是 https 加密包括网址在内的所有内容,以便您可以自由使用网址中的参数
https在tcp和http之间工作并加密所有内容但是将机密信息放入url并不是一个好主意,因为浏览器历史记录或dns仍然可能泄漏信息