0

我访问的每个网站:microsoft.com、gmail、minecraft.net、yahoo.com,除了 facebook,查看某人的个人资料,个人资料页面的查询字符串都是加密的。我的意思是个人资料页面名称是加密的。为什么是这样?为什么查询字符串不能是这样的: www.minecraft.com/profilepage.aspx?ProfilePageName=Fred 而不是 www.minecraft.com/profilepage.aspx?mts=ee3234423edder3443e

对于我的网站,查询字符串就像 pp=Fred 一样简单,我担心这样做会带来安全风险。有没有?还是网站只是过度保护?

4

1 回答 1

2

阻止您猜测个人资料页面。取决于网站,这可能是好事还是坏事

停止通过 http referrer 标头泄漏用户名

如果用户可以更改他们的个人资料名称,则可以减少页面中断(或完全错误)的机会。例如 - 我是您网站的会员,我的名字是 Bob。然后我把它改成布鲁斯。任何与 Bob 关联的人都可能会收到 404,或者可能会收到另一个 Bob

于 2012-07-29T04:18:56.003 回答