這是我previous question about BASIC auth over HTTPSHTTPS,URL路徑,查詢字符串
跟進後是路徑安全地傳遞到服務器,如果我使用HTTPS資源和查詢字符串?
即
URI:http://server/path/to/a/resource?with=a&query=string
服務器:服務器
路徑: /路徑/到/ A /資源
查詢字符串:與=一&查詢=字符串
這是我previous question about BASIC auth over HTTPSHTTPS,URL路徑,查詢字符串
跟進後是路徑安全地傳遞到服務器,如果我使用HTTPS資源和查詢字符串?
即
URI:http://server/path/to/a/resource?with=a&query=string
服務器:服務器
路徑: /路徑/到/ A /資源
查詢字符串:與=一&查詢=字符串
這是一個非常好的解釋:http://answers.google.com/answers/threadview/id/758002.html#answer
摘要:只有主機和端口可以不加密。
總之,是的。但是您不應該在URL中存儲敏感數據,因爲它可能在瀏覽器歷史記錄和服務器日誌文件中可見。任何看着你肩膀的人都會看到它。
HTTPS只是通過SSL連接的HTTP隧道。這意味着請求,響應,標題和內容都在SSL隧道內,因此應該加密。
是的,它是 - 整個會話是安全的,並加密,所以你發送的任何東西,包括查詢字符串是不可讀的。
如果您願意,可以通過使用類似Fiddler的內容來查看您在訪問安全網址時生成的http/https流量,從而證明這一點。任何你寄過來HTTPS將不會顯示在查詢字符串,如下所示:
我訪問實際的URL是這樣的:
https://www.halifax-online.co.uk/_mem_bin/formslogin.asp?source=halifaxcouk&simigvis=
按照其他答案,你不應該在查詢字符串中傳遞任何敏感信息,因爲這可能存儲在你的web服務器日誌文件中,所以如果你傳遞了一個用戶名/密碼組合,訪問您的日誌將能夠捕獲該信息。這可能允許某人登錄到您的站點/應用程序,就好像他們是其他人一樣,即使您正在努力將密碼存儲爲數據庫中的哈希值而不是明文。
相關:HTTPS查詢字符串是否安全? http://stackoverflow.com/questions/323200/is-a-https-query-string-secure?rq=1 – 2012-11-29 10:21:47