1

我正在使用 Firefox 中的 XmlHttpRequest 向服务器发出 PROPFIND Ajax 请求。服务器正在使用基本身份验证。我将凭据传递给打开方法:

xhr.open("PROPFIND", "https://serv/folder/", false, "User1", "password");

使用 Fiddler 我发现请求如下所示:

PROPFIND https://User1:password@serv/folder/

据我了解,在 url 中传递登录名和密码是没有意义的。我认为这是一个 FireFox 错误。

如果我使用 SSL,它会带来任何安全风险吗?

4

1 回答 1

0

是的 使用 url 发送用户名密码存在安全风险,即使您使用的是 SSL。大多数路由器和获取方式,防火墙/服务器都会记录请求 url,因此如果用户名和密码附加 url 作为查询字符串,则可以记录它。但是,如果可以将凭证作为发布数据发送,并且使用 SSL,数据会被加密,因此在传输过程中不可见。

于 2013-09-12T05:24:13.220 回答