在 URL 中使用电子邮件地址是否安全?我的意思是,假设一个网络应用程序有一个注册用户“Bob”,并且 Bob 已经使用他的电子邮件 => 进行了注册Bob@hisemail.com。现在您的意见是,应用程序接受和使用 GET 请求//application.com/Bob@hisemail.com以及每个用户的相同类型的 URL 是否安全?
问问题
16332 次
3 回答
28
基本上,这取决于您是喜欢还是讨厌您的用户。当您按照您的建议进行操作时,这些 URL 将在网络上的 HTML 页面上传播。不一定局限于您自己的网站,因为人们可能会链接到它。
当您的页面获得足够的吸引力以变得重要时,垃圾邮件机器人的爬虫作者会注意到并向其爬虫添加规则以从 URL 中提取电子邮件地址。甚至可能没有必要,因为一些愚蠢的正则表达式可能已经在没有调整的情况下找到了电子邮件。
然后,您的用户的电子邮件地址将出现在垃圾邮件发送者的列表中,并且委婉地说,会收到“不需要的广告”。(这些电子邮件列表也将具有相当高的价值,因为它们被“验证”为真实的、现有的。)
您在这里所做的是泄露用户信任您的私人身份。永远不要让它公开,除非你的用户告诉你!
从技术角度来看,你可以去做。
于 2013-12-05T12:43:39.893 回答
2
我认为这不是一个好主意。首先,电子邮件包含需要进行 URL 编码的特殊字符,因此它们不会与系统字符混淆(例如,对于 FTP 服务器,您可以传递这样的用户名ftp://user:pass@test.com)。
另外,从用户的角度来看,我不喜欢它,因为在这种情况下,我的电子邮件将保留在浏览器历史记录中。
于 2013-12-05T12:43:42.630 回答
0
在这种情况下,电子邮件地址可以与请求参数一起用作 GET 方法,例如:
// application.com/file_name?email=Bob@hisemail.com
此选项更安全,可能会使用。
于 2013-12-05T12:41:57.847 回答