我仅限于使用JSONP处理来自JavaScript应用程序的API请求。可以使用SSL通过GET请求发送登录详细信息
整个JavaScript应用程序将托管在SSL上。
由于我们在使用JSONP时仅限于GET请求,因此可以使用GET请求向API发送登录凭证(用户名/密码)吗?
我认为它不会是如果我们不使用SSL,但它是可以的,因为我们是。正确?
谢谢!
我仅限于使用JSONP处理来自JavaScript应用程序的API请求。可以使用SSL通过GET请求发送登录详细信息
整个JavaScript应用程序将托管在SSL上。
由于我们在使用JSONP时仅限于GET请求,因此可以使用GET请求向API发送登录凭证(用户名/密码)吗?
我认为它不会是如果我们不使用SSL,但它是可以的,因为我们是。正确?
谢谢!
是的,没有。如果您使用的是SSL,那么无论使用何种http方法,您的数据都是安全的。但是,使用POST而不是GET可能会为XSRF类型的攻击增加一级保护(它不需要,您需要某种形式的显式XSRF保护令牌,使用POST或使用GET)。但大多数登录表单不包含XSRF保护令牌,主要是因为此类攻击旨在使用未知用户的已激活登录会话。
所以,如果你不使用ssl,那么POST/GET没有什么太大的区别,当你使用SSL没有任何变化时,利用错误方法的攻击会针对系统的其他部分/服务。您的密码/登录对与许多当前网络应用程序一样安全。
P.S.您必须知道,取决于您的http服务器的配置,您的密码可以将登录信息存储在日志文件中,并将参数存入转储的URL中。 (IEEE遇到这样的问题,他们使用get方法登录用户)。
谢谢,非常有帮助的答案。 – markstewie