查询string参数在HTTPS(HTTP + SSL)中是否安全?
与请求一起发送时,查询string参数是否使用HTTPS进行encryption?
是。 查询string也使用SSLencryption。 不过,正如本文所示,将敏感信息放在URL中并不是一个好主意。 例如:
URL存储在Web服务器日志中 – 通常,每个请求的整个URL都存储在服务器日志中。 这意味着URL中的任何敏感数据(例如密码)都将以明文forms保存在服务器上
请记住,SSL / TLS在传输层运行,所以所有的crypto goo都发生在应用层HTTP的东西之下。
http://en.wikipedia.org/wiki/File:IP_stack_connections.svg
这是很长的一段话,“是的!”
使用HTTPS时,整个传输(包括查询string,整个URL,甚至请求的types(GET,POST等))都被encryption。
我不同意这里给出的build议 – 即使是接受的答案的参考结论:
您当然可以使用HTTPS查询string参数,但不要将它们用于可能导致安全问题的任何事情。 例如,您可以安全地使用它们来识别部分号码或“帐户视图”或“打印页面”等显示types,但不要将其用于密码,信用卡号或其他不应公开的信息。
所以,不,他们不是很安全。