哪种参数传递方式更安全：URL、隐藏字段还是 cookie？

Question

我正在使用 Intraweb，它为我提供了 3 个传递参数的选项。

1. 在 url 中使用 ?param
2. 使用隐藏字段
3. 使用 cookies

就我的代码而言，我选择哪个选项并不重要，框架将我从中抽象出来。

但是，哪一种更能防止用户篡改呢？

Answer 1

在 URL 参数中传递数据存在超出 URL 长度限制的风险，并且可能会干扰书签（或成为一项功能！）。作为 cookie 传递存在用户关闭 cookie（或客户端不支持 cookie）的风险。作为隐藏字段传递是最可移植的。

这些方法本身都不提供任何级别的安全性。

编辑： lance 指出的优秀文章中的一个建议是将敏感数据存储在服务器上，并且只向客户端传输 cookie。这是术语 cookie 的不同用法，更正确的说法应该是 会话 ID，它可以使用这三个中的任何一个在服务器和客户端之间来回传输您正在考虑的方法。

Answer 2

它们都可以使用免费工具轻松复制/修改，所以我想说使用最适合您的应用程序的 - 它们在安全性方面是相同的，它们都不应该被信任。

考虑使用服务器端发布的加密哈希来防止篡改您选择的任何选项。

Answer 3

从安全角度来看，所有这些在服务器上都应该被同等对待。仅仅因为变量是通过 Piglet Transfer 而不是 GET 传递的，并不意味着它是安全的。它仍然来自邪恶的用户。

因此，请确保对所有这些都使用完全相同的安全机制。

Answer 4

它们都不安全（尽管不清楚您到底指的是哪种安全）。

当然，一个明显的区别是 url 参数始终可见 - 如果用户创建书签或向某人发送 URL，则该参数也会随之而来。

Answer 5

对于已经说过的内容，我想补充一点，当您在网址中有参数时，它可以让用户创建书签 - http://bikes.com/catalog.aspx?category=downill [不是真实地址]。因此，在某些情况下，这可能比其他两种选择更好。