将会话ID/密钥作为请求参数传递时存在安全风险
Security risk in passing session ID/ keys as request parameters
我们正在开发一个RESTful聊天API和一个聊天客户端。当客户端发出"初始连接"请求时,我们返回一个带有安全密钥和用户id的json响应。对于后续请求,客户端应发送用户id和安全密钥作为请求参数。请注意,聊天只允许在登录用户之间进行,其他组件会拦截所有请求并进行身份验证和授权。
- 在每个请求中发送安全密钥和用户id(通过客户端)是否存在安全风险
- 如果是,补救措施/解决方案是什么
由于多种原因,通常认为将安全凭据放在cookie中而不是URL中是更好的做法。其中一个原因是URL可能由基础设施的各个部分(浏览器历史记录、代理日志、web服务器日志文件等)记录,但cookie通常不会以这种方式捕获和存储。
相关文章:
- 函数未将值作为参数传递
- 如何将参数传递到angularJs中的工厂
- 如何在HTML元素上创建函数,而不是将元素作为参数传递
- JavaScript常量-作为参数传递或直接使用
- 如何将javascript对象作为参数传递到c#web服务中
- 将参数传递给函数
- 如何将Gruntfile.js中的参数传递到webdriverio规范
- javascript,将参数传递给函数内部的闭包中的回调
- Javascript-将包含变量的html字符串作为参数传递
- 将字符串作为参数传递给函数onclick event jquery
- 将修改后的数组作为参数传递给函数
- 在嵌套递归指令中将参数传递给父控制器方法
- each()-将额外的参数传递给回调参数
- 代码气味-将布尔控制参数传递给函数
- 如何将自定义参数传递到FullCalendar事件提要
- 将参数传递给函数,同时保留事件处理程序
- 将图标作为参数传递不会;t工作-谷歌地图
- 如何使用按钮将参数传递给函数
- 将函数作为 Javascript 中可能尚不存在的参数传递
- 将会话ID/密钥作为请求参数传递时存在安全风险