2
如果一个按钮,做了一个后用户点击(可以说是具有用户名和密码后),并且这些凭据得到成功验证。如果我做了一个重定向到一个完全不同的应用程序(所以我不能携带会话等),我使用GET与查询字符串的用户名和密码的时候(我甚至可以使用基本的加密是否有帮助,但不管),然后它进入的页面,我检查,以确保它从我预计它来自网页来了,从查询字符串拉值,把它们放在一个会话变量,然后做一个重定向到同一页(去除查询字符串值,以便它们不能被用户查看)。这一切都发生在同一台服务器上的SSL上。URL查询字符串的安全性问题(ASP.NET)
有人能指出有人拦截此方案中的用户名和密码的安全漏洞?
感谢您的答复。我知道这通常不被推荐,但我想知道哪里是安全漏洞。客户端应该永远不会看到查询字符串,因为重定向发生在服务器上,我在清除URL到达客户端之前,对吧? – EdenMachine 2009-04-15 22:08:23
浏览器将会看到该URL,甚至可能会将其缓存。至少,我建议你设置一个cookie(与domain =其他网站),而不是在querystring中传递值。 – 2009-04-15 22:10:32