我已经在登录表单中实现了reCaptcha,以减缓潜在的暴力攻击。但是,应用程序发送recaptchaPublicKey&回复请求中的RecaptchaToken以及登录凭据。它是否会导致安全威胁?根据我的理解,如果应用程序反映HTTP响应主体中的秘密(例如令牌),那么它将被归类为潜在的BREACH(浏览器侦察和通过超文本自适应压缩进行的泄漏)攻击。
在post post中发送RecaptchaToken是否安全?
答案 0 :(得分:0)
您希望在何处/如何发送它们?
您必须通过 POST 将来自reCaptcha Control的用户响应令牌发送到您的终端。您还需要确保通过 SSL / TLS 发送数据。