2010-08-25 109 views
12

這是我previous question about BASIC auth over HTTPSHTTPS,URL路徑,查詢字符串

跟進後是路徑安全地傳遞到服務器,如果我使用HTTPS資源和查詢字符串?


URI:http://server/path/to/a/resource?with=a&query=string
服務器:服務器
路徑: /路徑/到/ A /資源
查詢字符串:與=一&查詢=字符串

+0

相關:HTTPS查詢字符串是否安全? http://stackoverflow.com/questions/323200/is-a-https-query-string-secure?rq=1 – 2012-11-29 10:21:47

回答

1

HTTPS只是通過SSL連接的HTTP隧道。這意味着請求,響應,標題和內容都在SSL隧道內,因此應該加密。

10

是的,它是 - 整個會話是安全的,並加密,所以你發送的任何東西,包括查詢字符串是不可讀的。

如果您願意,可以通過使用類似Fiddler的內容來查看您在訪問安全網址時生成的http/https流量,從而證明這一點。任何你寄過來HTTPS將不會顯示在查詢字符串,如下所示:

alt text

我訪問實際的URL是這樣的:

https://www.halifax-online.co.uk/_mem_bin/formslogin.asp?source=halifaxcouk&simigvis=

按照其他答案,你不應該在查詢字符串中傳遞任何敏感信息,因爲這可能存儲在你的web服務器日誌文件中,所以如果你傳遞了一個用戶名/密碼組合,訪問您的日誌將能夠捕獲該信息。這可能允許某人登錄到您的站點/應用程序,就好像他們是其他人一樣,即使您正在努力將密碼存儲爲數據庫中的哈希值而不是明文。