0

我开始对我们的软件实施方式感到不安。特别是我们似乎将电子邮件和用户名作为 URL 参数传递。我意识到,对于主流用户来说应该没问题,但偷东西的人他们不是主流用户。虽然我知道这是一个难题,但我仍然希望我们有一些不那么明显的东西。

我想到的一件事是切换到 POST 请求和 HTTPS。声音简单,应用广泛。我们使用 Google App Engine 作为后端,它确实支持 SSL:

https://developers.google.com/appengine/docs/java/config/webxml#Secure_URLs

我意识到它并没有太大帮助,因为仍然有办法克服它,但至少它是一个障碍。

我还有什么其他选择?还是我应该忘记这一点,只坚持简单的 URL 参数?

4

1 回答 1

2

不要将凭据或其他敏感信息作为 URL 参数传递:任何中间代理都可以捕获凭据。使用带有 SSL 的 POST 是安全、标准的方法。

于 2013-10-15T15:12:47.703 回答