0
HTTP GET方法將通過URL傳輸數據,如https://www.example.com/users?id=1。如果我使用HTTPS,連接將是安全的,但鏈接中的敏感數據仍然可以記錄在服務器上,處理客戶端請求的鏈接,從而泄露稍後被某些黑客獲取的祕密。如何保護REST GET方法?
OWASP recommends不在鏈接上存儲任何內容,因爲它可以在Web服務器上登錄。
但是REST使用GET來檢索數據,因爲在CRUD操作中會出現「讀取」。
所以問題是,如何在REST上進行安全的GET調用?
編輯:舉個例子:OWASP說,不包括在URL地址的API密鑰,但由於對GET請求發送的所有數據被放置在URL,我將如何發送API密鑰來其他服務器授權來自該用戶的GET響應,因爲我不能將它放在URL本身上?
OWASP沒有解釋如何實現這一點。
您應該對這些敏感數據的真實含義有所瞭解。不同種類的數據需要不同的保護。 – DaSourcerer
我的意思是任何數據,如果記錄將被泄露。這不是關於如何保護通過GET傳輸的內部數據,而是如何安全地使用GET的問題。 – mFeinstein
我明白了。再說一遍:什麼樣的數據? – DaSourcerer