我的一位同事说使用 spring 默认登录输入参数存在安全风险。我没有问他为什么。我不相信,因为 https 连接会在发布参数时对其进行加密。一些澄清会有所帮助。谢谢。
最佳答案
如果没有解释他认为可能存在风险的原因,很难说。
唯一(非常小)的问题可能是有人可能会看到它们并能够猜测您正在使用 Spring Security。但这本身并不是天生的风险。标准 Java EE servlet 安全性还使用 j_username
和 j_password
作为登录参数。
在任何情况下,您都可以更改配置中的名称,以及表单提交到的 URL。你也可以change the session cookie name使您甚至在使用 Java 应用程序时不那么明显。当然,如果您的应用程序具有 .jsp
URL 并在出现问题时将堆栈跟踪信息转储给用户,那么这些都无关紧要。
我会请您的同事 self 解释并提供一些证据来证明他的论断以及他认为这是一个问题的原因。更改参数是个好主意,但如果不这样做,不太可能成为主要风险。
关于ssl - 使用 j_username 和 j_password 作为输入字段名称是否存在安全风险,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24595620/