ssl – 将敏感数据作为查询字符串参数发送

我们正在审查系统的设计.并且需要验证我们认为可能是安全问题的内容.

在该系统中,一些敏感信息在查询字符串中发送.问题是:

>即使请求是通过https发送的,也可以在请求通过互联网时读取查询字符串参数?
>是否可以从客户端计算机上的浏览历史记录中读取查询字符串参数?

使用HTTPS时,会在发送任何HTTP流量之前建立SSL / TLS连接,因此整个请求(包括URL及其参数)将被加密且无法读取.第三方可能唯一可见的是服务器证书(因此他们可以看到主机名,但就是这样).

虽然某些浏览器可能有一些“安全浏览”选项可能会自动删除某些HTTPS URL,但浏览器的历史记录不会受到HTTPS的任何保护.这个最终真的取决于浏览器及其配置.

相关文章
相关标签/搜索