正如标题所说。您应该在 GET 请求的 url 中传递身份验证 token 吗?中间人攻击呢?还是数据包嗅探?所有包括用 HTTPS 包装的请求
最佳答案
当您使用 https 时,GET 和 POST 对于中间人攻击同样安全,因为有效载荷是加密的,除了具有私钥的接收者之外,没有人可以看到数据。
使用 GET 访问的 url 存储在浏览器历史记录中,也可以(意外地)与其他人共享(另请参见 Session Hijacking)。所以我不会将身份验证信息作为查询参数传递,而是使用 http header cookie 或未存储在浏览器历史记录中的内容。如果你必须这样做,你应该确保授权信息在一段时间后失效。
关于ssl - 使用 https 的 GET 请求不如 Post 请求安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55907037/