HTTPS、URL 路径和查询字符串

Question

HTTPS 上的 BASIC 身份验证的问题的后续帖子

这是我的上一个关于 如果我使用 HTTPS，资源和查询字符串会安全地传递到服务器吗？

即
URI： http://server/path/到/a/resource?with=a&query=string
服务器：服务器
路径： /path/to/a/resource
查询字符串： with=a&query=string

Answer 1

这是对此的一个很好的解释：http://answers.google。 com/answers/threadview/id/758002.html#answer

摘要：只有主机和端口未加密时可见。

简而言之，是的。但是您不应该在 URL 中存储敏感数据，因为它可能在浏览器历史记录和服务器日志文件中可见。任何回头看你的人也会看到这一点。

Answer 2

是的，整个会话都是安全和加密的，因此您发送的任何内容（包括查询字符串）都是不可读的。

如果您愿意，您可以通过使用类似 Fiddler 查看 http/https 来向自己证明这一点当您访问安全网址时产生的流量。您通过 HTTPS 发送的任何内容都不会显示查询字符串，如下所示：

我访问的实际 URL 如下所示:

https://www.halifax-online .co.uk/_mem_bin/formslogin.asp?source=halifaxcouk&simigvis=

根据其他答案，您不应在查询字符串中传递任何敏感信息，因为这可能存储在您的网络服务器日志文件中，因此如果您传递用户名/密码组合任何可以访问您日志的人都可以捕获该信息。这可能允许某人像其他人一样登录您的网站/应用程序，即使您正在努力将密码作为加盐哈希值而不是纯文本存储在数据库中。

Answer 3

HTTPS 只是通过 SSL 连接建立 HTTP 隧道。这意味着请求、响应、标头和内容都在 SSL 隧道内，因此应该加密。