如标题所述。您是否应该在GET请求的网址中传递身份验证令牌?中间人攻击呢?还是数据包嗅探?全部包括使用HTTPS包装的请求
答案 0 :(得分:0)
使用https时,GET和POST对于中间人攻击同样安全,因为有效负载已加密,只有具有私钥的接收者才能看到数据。
使用GET,将访问的URL存储在浏览器历史记录中,并且也可以(偶然地)与其他Pople共享(另请参见Session Hijacking)。因此,我不会将身份验证信息作为查询参数传递,而是使用http标头cookie或在浏览器历史记录中未存储的内容。如果必须这样做,则应确保一段时间后验证信息无效。