[解決済み] HTTPSのクエリ文字列は安全ですか?
2022-03-22 03:22:18
質問
HTTPSを使用する安全なWebベースのAPIを作成しています。しかし、ユーザーがクエリストリングを使用して設定(パスワードの送信を含む)することを許可した場合、これも安全ですか、それともPOSTを介して行われるように強制すべきですか?
どのように解決するのですか?
はい、そうです。 しかし、機密性の高いデータにGETを使用するのは良くない考えです にはいくつかの理由があります。
- HTTPリファラーの漏洩がほとんど(対象ページ内の外部画像からパスワードが漏洩する可能性がある[1])。
- パスワードがサーバーログに保存される(これは明らかに悪いことです)
- ブラウザの履歴キャッシュ
したがって、Querystringが安全であっても、Querystringを介して機密データを転送することは推奨されません。
[1] ただし、RFCでは、ブラウザはHTTPSからHTTPにリファラーを送信すべきではないと述べていることに留意する必要があります。しかし、サードパーティのツールバーや、HTTPSサイトからの外部画像やフラッシュが漏れないということではありません。
関連
-
[解決済み] Windows環境でPKIXパスがどのトラストアンカーとも連鎖しないエラーが発生する。
-
[解決済み] javax.net.ssl.SSLException: 利用可能な PSK がありません。再開不能
-
[解決済み] JavaScriptでクエリ文字列の値を取得するにはどうすればよいですか?
-
[解決済み] Node.js上のExpress.jsでGET(クエリ文字列)変数を取得する方法とは?
-
[解決済み] HTTPSのURLは暗号化されていますか?
-
[解決済み] HTTPSヘッダーは暗号化されていますか?
-
[解決済み] Javascriptオブジェクトのクエリ文字列エンコーディング
-
[解決済み] クエリ文字列の最大長を教えてください。
-
[解決済み] express.js で HTTPS を有効にする
-
[解決済み] SSL/TLSセキュアチャネルの信頼関係を確立できなかった -- SOAP
最新
-
nginxです。[emerg] 0.0.0.0:80 への bind() に失敗しました (98: アドレスは既に使用中です)
-
htmlページでギリシャ文字を使うには
-
ピュアhtml+cssでの要素読み込み効果
-
純粋なhtml + cssで五輪を実現するサンプルコード
-
ナビゲーションバー・ドロップダウンメニューのHTML+CSSサンプルコード
-
タイピング効果を実現するピュアhtml+css
-
htmlの選択ボックスのプレースホルダー作成に関する質問
-
html css3 伸縮しない 画像表示効果
-
トップナビゲーションバーメニュー作成用HTML+CSS
-
html+css 実装 サイバーパンク風ボタン
おすすめ
-
[解決済み] Windows環境でPKIXパスがどのトラストアンカーとも連鎖しないエラーが発生する。
-
[解決済み] をカールします。(35) error:1408F10B:SSLルーチン:ssl3_get_record:バージョン番号が間違っています。
-
[解決済み] ssl : 証明書を読み込むことができません
-
[解決済み] javax.net.ssl.SSLException: 利用可能な PSK がありません。再開不能
-
[解決済み] wget ssl alert ハンドシェイク失敗
-
[解決済み] クライアント証明書を使用しようとしたときのsslv3 alert handshakeの失敗の解決法
-
[解決済み] .keyと.crtファイルから.pemファイルを取得する方法は?
-
[解決済み] HTTPS(HTTP + SSL)において、クエリストリングパラメーターは安全ですか? [重複している]。
-
[解決済み] HTTPSのクエリ文字列は安全ですか?
-
[解決済み] node.js、socket.ioのSSL化