将敏感数据作为查询字符串参数发送

Question

我们正在审查系统的设计。并且需要验证我们认为可能存在的安全问题。

在此系统中，一些敏感信息在查询字符串中发送。问题是：

• 即使请求是通过 https 发送的，当请求通过 Internet 时，是否可以读取查询字符串参数？
• 可以从客户端计算机上的浏览历史记录中读取查询字符串参数吗？

Answer 1

当您使用 HTTPS 时，SSL/TLS 连接是在发送任何 HTTP 流量之前建立的，因此整个请求（包括 URL 及其参数）将被加密并且不可读。第三方可能看到的唯一东西是服务器证书（因此他们可以看到主机名，但仅此而已）。

浏览器的历史记录不受 HTTPS 本身的任何方式保护，尽管某些浏览器可能有一些“安全浏览”选项，可能会自动删除一些 HTTPS URL。这最终取决于浏览器及其配置。

Answer 2

如果在 get 请求中传递敏感详细信息，这肯定是一个安全问题。
敏感数据不仅会缓存在用户的浏览器中，还会缓存在 d way 上的任何代理中以及网络服务器日志中

Answer 3

是的，第一个。不确定第二个 - 我猜取决于浏览器 - 但我怀疑，是的，这里也是如此。