查询string参数在HTTPS(HTTP + SSL)中是否安全?

与请求一起发送时,查询string参数是否使用HTTPS进行encryption?

是。 查询string也使用SSLencryption。 不过,正如本文所示,将敏感信息放在URL中并不是一个好主意。 例如:

URL存储在Web服务器日志中 – 通常,每个请求的整个URL都存储在服务器日志中。 这意味着URL中的任何敏感数据(例如密码)都将以明文forms保存在服务器上

请记住,SSL / TLS在传输层运行,所以所有的crypto goo都发生在应用层HTTP的东西之下。

http://en.wikipedia.org/wiki/File:IP_stack_connections.svg

这是很长的一段话,“是的!”

使用HTTPS时,整个传输(包括查询string,整个URL,甚至请求的types(GET,POST等))都被encryption。

我不同意这里给出的build议 – 即使是接受的答案的参考结论:

您当然可以使用HTTPS查询string参数,但不要将它们用于可能导致安全问题的任何事情。 例如,您可以安全地使用它们来识别部分号码或“帐户视图”或“打印页面”等显示types,但不要将其用于密码,信用卡号或其他不应公开的信息。

所以,不,他们不是很安全。

Interesting Posts

如何从源码升级CentOS 6.5 / Linux / Unix中的OpenSSL?

用于Asp.Net Web Api的JWTauthentication

在Javascript中构buildHTMLstring真的不安全吗?

我如何获得Symfony2中代表当前用户的实体?

在父上下文中声明Spring Bean与子上下文

dynamicMySQL查询与SQL转义一样安全的准备语句?

使用Active Directory的.NET中的用户组和angular色pipe理

PreparedStatement IN子句的替代?

密钥库types:使用哪一个?

将CreditCard信息存储到DataBase中的最佳实践