1
我仅限于使用JSONP处理来自JavaScript应用程序的API请求。可以使用SSL通过GET请求发送登录详细信息
整个JavaScript应用程序将托管在SSL上。
由于我们在使用JSONP时仅限于GET请求,因此可以使用GET请求向API发送登录凭证(用户名/密码)吗?
我认为它不会是如果我们不使用SSL,但它是可以的,因为我们是。正确?
谢谢!
A
回答
1
是的,没有。如果您使用的是SSL,那么无论使用何种http方法,您的数据都是安全的。但是,使用POST而不是GET可能会为XSRF类型的攻击增加一级保护(它不需要,您需要某种形式的显式XSRF保护令牌,使用POST或使用GET)。但大多数登录表单不包含XSRF保护令牌,主要是因为此类攻击旨在使用未知用户的已激活登录会话。
所以,如果你不使用ssl,那么POST/GET没有什么太大的区别,当你使用SSL没有任何变化时,利用错误方法的攻击会针对系统的其他部分/服务。您的密码/登录对与许多当前网络应用程序一样安全。
P.S.您必须知道,取决于您的http服务器的配置,您的密码可以将登录信息存储在日志文件中,并将参数存入转储的URL中。 (IEEE遇到这样的问题,他们使用get方法登录用户)。
相关问题
- 1. SOAP请求是如何通过HTTP发送的详细信息
- 2. WooCommerce:通过HTTP POST请求发送订单详细信息
- 3. 发送登录详细信息使用URL
- 4. 无法通过AJAX呼叫发送登录信息请求
- 5. 登录详细信息以使用Oracle BI发行商桌面
- 6. 通过会话获取登录用户的详细信息
- 7. 通过AJAX发送登录信息
- 8. 从Facebook登录用户详细信息
- 9. 当前用户登录详细信息
- 10. 试用版登录详细信息
- 11. JavaScript - XHR - 向请求添加SSL证书详细信息
- 12. android:使用OAuth登录Gmail以检索帐户详细信息
- 13. 我们可以登录腻子与FTP的详细信息
- 14. PHP比较登录详细信息
- 15. 加密的SQL登录详细信息
- 16. Android:G +登录并获取详细信息
- 17. MySQL/PHP检查登录详细信息
- 18. 获取最后登录详细信息
- 19. 新会话登录详细信息
- 20. 加密ccnet.config TFS登录详细信息
- 21. 如何通过电子邮件发送通话记录详细信息
- 22. android通过gps发送位置详细信息到servlet
- 23. 通过Java套接字发送文件详细信息失败
- 24. 通过CollectionViewCell选择发送信息到详细视图
- 25. Google API请求可以请求关于它自己的详细信息吗?
- 26. 如何登录“请求信息”然后通过电子邮件发送?
- 27. Twilio:从Twilio发送短信并通过消息请求URL登录?
- 28. 注册Facebook/twitter,但用“本地”登录详细信息登录
- 29. 使用Log4Net记录登录详细信息
- 30. 发送主人详细信息表格
谢谢,非常有帮助的答案。 – markstewie