我只能对来自 JavaScript 应用程序的 API 请求使用 JSONP。
整个 JavaScript 应用程序将通过 SSL 托管。
由于我们在使用 JSONP 时仅限于 GET 请求,是否可以使用 GET 请求将登录凭据(用户名/密码)发送到 API?
我想如果我们不使用 SSL 就不会,但没关系,因为我们使用了。正确吗?
谢谢!
最佳答案
是的,也不是。如果您使用的是 SSL,那么在传输过程中无论使用何种 http 方法,您的数据都是安全的。但是使用 POST 而不是 GET 可能会为 XSRF 类型的攻击增加一层保护(它不会,您需要某种形式的显式 XSRF 保护 token ,使用 POST 或使用 GET)。但是大多数登录表单不包含 XSRF 保护 token ,主要是因为这种类型的攻击旨在使用不知情用户的已经事件的登录 session 。
因此,如果您没有使用 ssl,那么 POST/GET 没有太大区别,而当您使用 SSL 时,没有任何变化,利用错误方法的攻击针对系统的其他部分/服务。您的密码/登录名对与许多当前的网络应用程序一样安全。
附言您必须知道,根据您的 http 服务器的配置,您的密码可能会存储在日志文件中,并使用参数转储访问 url。 (IEEE遇到过这样的问题,他们是用get方法来登录用户)。
关于security - 是否可以使用 SSL 通过 GET 请求发送登录详细信息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18305269/