我遇到过许多使用doget()或dopost()方法来处理登录表单中输入的用户名和密码字段的网站,但是当我们使用doget()时,我们必须自己加密用户名和密码 . 字段,因为它们被附加到URL,而在dopost()中则不是这样(工作看起来不那么简单......) .
但是,我有点担心使用dopost()是否安全可靠,因为用户名和密码字段是高度敏感的数据 .
任何人都可以告诉我使用这两者中的任何一个用于登录表格的优点或缺点吗?
POST有更高的开销(稍微,如果我们诚实,但这一切都加起来),但它不会成为URL的一部分,所以不能被一个不经意的观察者看到用户的肩膀 - 而GET可以 . 但是,两者都可以通过网络同样容易地截获,所以如果你不使用任何加密就不安全...... GET更糟糕,因为没有任何故意试图拦截密码,任何人都可以阅读它
如果您使用GET,用户只需更改URL即可轻松修改输入,这可能是好事也可能是坏事,您必须根据具体情况做出决定 . 帖子不能被用户轻易修改 .
诀窍是在发送之前加密任何密码或敏感数据 . 这样,如果数据包被截获,几乎没有风险,因为你已经加密了字符串,你不介意有人在用户的肩膀上读它...你可以因此使用GET并节省一点以更长,更不漂亮的URL为代价的开销 . 在这个阶段,两者都不比另一个更安全 .
在理想的安全性世界中,您将使用带有SSL的POST,以便URL中的任何内容都不容易被截获,并且可以轻松地使用任何被截获的内容 .
您应该使用doPost()方法,因为此方法不会在网址末尾添加您的用户名和密码 .
如果你要使用doGet()方法,这将附加你的用户名和密码url的结尾 . 所以它不安全 . 所以我建议你去更安全的doPost()方法 . 如果您想要更高的安全性,您还可以使用SSL(安全套接字层) .
2 回答
POST有更高的开销(稍微,如果我们诚实,但这一切都加起来),但它不会成为URL的一部分,所以不能被一个不经意的观察者看到用户的肩膀 - 而GET可以 . 但是,两者都可以通过网络同样容易地截获,所以如果你不使用任何加密就不安全...... GET更糟糕,因为没有任何故意试图拦截密码,任何人都可以阅读它
如果您使用GET,用户只需更改URL即可轻松修改输入,这可能是好事也可能是坏事,您必须根据具体情况做出决定 . 帖子不能被用户轻易修改 .
诀窍是在发送之前加密任何密码或敏感数据 . 这样,如果数据包被截获,几乎没有风险,因为你已经加密了字符串,你不介意有人在用户的肩膀上读它...你可以因此使用GET并节省一点以更长,更不漂亮的URL为代价的开销 . 在这个阶段,两者都不比另一个更安全 .
在理想的安全性世界中,您将使用带有SSL的POST,以便URL中的任何内容都不容易被截获,并且可以轻松地使用任何被截获的内容 .
您应该使用doPost()方法,因为此方法不会在网址末尾添加您的用户名和密码 .
如果你要使用doGet()方法,这将附加你的用户名和密码url的结尾 . 所以它不安全 . 所以我建议你去更安全的doPost()方法 . 如果您想要更高的安全性,您还可以使用SSL(安全套接字层) .