我们正在审查系统的设计。并且需要验证我们认为可能是一个安全问题。
在这个系统中,一些敏感信息在查询字符串中发送。问题是:
- 是否可以在请求通过 Internet 时读取查询字符串参数,即使请求是通过 https 发送的?
- 可以从客户端机器上的浏览历史中读取查询字符串参数吗?
问问题
2442 次
3 回答
9
当您使用 HTTPS 时,SSL/TLS 连接在发送任何 HTTP 流量之前建立,因此整个请求(包括 URL 及其参数)将被加密并且不可读。第三方唯一可能看到的是服务器证书(因此他们可以看到主机名,仅此而已)。
浏览器的历史不受 HTTPS 的任何保护,尽管某些浏览器可能有一些“安全浏览”选项,可能会自动删除一些 HTTPS URL。这最终真的取决于浏览器及其配置。
于 2010-10-01T14:32:22.223 回答
0
如果在获取请求中传递敏感细节,这肯定是一个安全问题。敏感数据不仅会缓存在用户的浏览器中,还会缓存在任何代理服务器中以及网络服务器日志中
于 2013-02-13T09:52:49.310 回答
-1
是的,第一个。不确定第二个 - 我猜取决于浏览器 - 但我怀疑,是的,这里也是。
于 2010-10-01T09:42:06.677 回答