Насколько безопасен HTTP GET, когда данные закодированы в URL?
-
06-07-2019 - |
Вопрос
Если данные имеют кодировку Url, достаточно ли это безопасно для отправки учетных данных для входа через HTTP GET?
Решение
Совсем нет. Кодированный URL легко обратим. Вы должны зашифровать транспортный уровень (то есть использовать HTTPS)
Другие советы
Нет - URL-кодировка предназначена для того, чтобы все символы, которые вы пытаетесь отправить с помощью запроса GET, могли на самом деле попасть на другой конец.
Он на самом деле предназначен для легкого кодирования и декодирования для подготовки данных к передаче, а не для обеспечения безопасности.
URL-кодировка не является каким-либо видом шифрования, она просто подготавливает строку для отправки по сети.
Если ваши данные конфиденциальны, GET должен быть полностью исключен. Причины для этого?
<Ол>Ознакомьтесь с целью кодирования URL-адреса
Спецификация для URL (RFC 1738, Dec. '94) создает проблему, поскольку ограничивает использование разрешенных символов в URL только ограниченным подмножеством набора символов US-ASCII.
HTML, с другой стороны, разрешает использовать в документах весь диапазон набора символов ISO-8859-1 (ISO-Latin), а HTML4 расширяет допустимый диапазон, включая также весь набор символов Unicode. , В случае символов, отличных от ISO-8859-1 (символы выше десятичного FF / 255 в наборе Unicode), они просто не могут использоваться в URL-адресах, поскольку не существует безопасного способа указать информацию набора символов в содержимом URL-адреса. пока [RFC2396.]
URL-адреса должны быть закодированы везде в документе HTML, на который ссылается URL-адрес для импорта объекта (A, APPLET, AREA, BASE, BGSOUND, BODY, EMBED, FORM, FRAME, IFRAME, ILAYER, IMG, ISINDEX, INPUT, Элементы LAYER, LINK, OBJECT, SCRIPT, SOUND, TABLE, TD, TH и TR.)
Безопасность здесь не главное. Как уже отмечалось, HTTPS следует использовать, когда это требуется.
URLEncoding для кодирования / передачи, а не безопасности.
Совсем не безопасно.