在主体而不是主体中传递数据

Question

在我们的项目中，由于我们在项目中使用的http标头，我们面临着CORS起源问题。 因此，我们计划在正文请求中发送标头信息。

上一个请求

标题：

Content-Type : application/json
deviceData   : efef|eewgwe|egew
reqKey       : 4534532532532532

身体：

{"a": 5, "b": 4}

当前请求

加密下面的json

{"a": 5, "b": 4, "deviceData"   : "efef|eewgwe|egew"
"reqKey"       : "4534532532532532"}

35435634564646

Content-Type : application/x-www-form-urlencoded

身体：

data : 35435634564646

我想澄清以下几点。

1. 哪个最好发送敏感信息的标头或正文？
2. 就大小和数据传输而言，使用application / x-www-form-urlencoded而不是json是否有任何限制？