18
Có an toàn khi đặt một jwt (mã thông báo web json) vào url dưới dạng tham số truy vấn của yêu cầu GET không?Có an toàn khi đặt jwt vào url làm tham số truy vấn của yêu cầu GET không?
A
Trả lời
22
Nó có thể được an toàn trong các trường hợp sau đây:
- JWT là thời gian sử dụng một lần duy nhất
- các
jtivàexptuyên bố có mặt trong token - người nhận thực hiện đúng cách bảo vệ replay sử dụng
jtivàexp
nhưng trong trường hợp nó được sử dụng làm mã thông báo có thể lặp lại ly được sử dụng, ví dụ: chống lại một API sau đó cung cấp nó như là một tham số truy vấn ít được ưa thích vì nó có thể kết thúc trong nhật ký và thông tin quy trình hệ thống, có sẵn cho những người khác có quyền truy cập vào hệ thống máy chủ hoặc máy khách. Trong trường hợp đó sẽ là tốt hơn để trình bày nó như là một phần của một tiêu đề hoặc một tham số POST.
Bên cạnh đó, bằng cách sử dụng nó trong các tham số truy vấn bạn có thể chạy vào giới hạn kích thước URL trên trình duyệt hoặc máy chủ; sử dụng nó trong một tiêu đề cung cấp một số không gian hơn, sử dụng nó như là một paramter POST sẽ làm việc tốt nhất.
-2
Bạn không nên bao gồm bất kỳ thông tin bí mật nào trong URL. Bạn có thể mã hóa jwt và đưa nó vào URL bằng phương thức GET. Tuy nhiên, hãy nhớ rằng một số tin tặc có thể giải mã được, đó sẽ là vấn đề nếu nó chứa thông tin bí mật. Vì vậy, nếu nó không phải là bí mật bạn có thể bao gồm nó, nếu không sử dụng một số phương pháp khác nhau như, POST hoặc phiên.
+22
Eh ... loại yêu cầu không thực sự làm bất cứ điều gì để bảo vệ chống lại tin tặc. Tại sao họ có thể đọc yêu cầu GET của bạn chứ không phải yêu cầu POST? Nếu họ khai thác kết nối của bạn, nó trông giống nhau. Nếu đó là SSL/TLS, thì chuỗi truy vấn cũng được bảo vệ. – Gray
+2
Thông số truy vấn hiển thị trong lịch sử trình duyệt. Không hiển thị với các đối thủ từ xa, nhưng vẫn là điểm yếu bảo mật. – dnault
+0
Có liên quan đến sự cố tràn dữ liệu do vô tình, ví dụ: có mã thông báo được tìm kiếm và phân phối bởi google. Tuy nhiên, để bảo mật, mã thông báo cần phải là thời gian/hạn chế sử dụng. –
Các vấn đề liên quan
- 1. yêu cầu http 'get' của node.js http 'get' với tham số chuỗi truy vấn
- 2. Sửa đổi các tham số truy vấn trong yêu cầu GET hiện tại cho url mới
- 3. GWT: Chụp các tham số URL trong yêu cầu GET
- 4. RestTemplate Yêu cầu GET với các tham số yêu cầu
- 5. RestKit truy vấn tham số GET
- 6. Mảng làm tham số trong yêu cầu GET trong Postman
- 7. Thêm thông số truy vấn vào yêu cầu GET trong okhttp trong Android
- 8. Tại sao truy vấn này yêu cầu tham số?
- 9. curl Nhận Yêu cầu với một tham số có chứa một url GET
- 10. Tham số yêu cầu Yii2 từ url
- 11. Lấy mảng làm tham số truy vấn GET trong Python
- 12. Có cách nào để thêm tham số truy vấn vào mọi yêu cầu với Retrofit 2 không?
- 13. UUID có "URL an toàn" không?
- 14. Có thể thực hiện yêu cầu JSONP an toàn không?
- 15. Có thể chuyển các tham số url vào google play không? (vượt qua chuỗi truy vấn)
- 16. Rails 5 - Bất kỳ ai có thể giải thích cách tạo URL từ các tham số yêu cầu không được vệ sinh không an toàn không?
- 17. HttpContext.Current.Items có an toàn chỉ giữa các yêu cầu không?
- 18. bình yên tĩnh: truyền tham số để GET yêu cầu
- 19. WebResource.axd yêu cầu không có tham số - Đây là một yêu cầu không hợp lệ webresource
- 20. jquery get chuỗi truy vấn từ URL
- 21. Giới hạn quyền truy cập vào URL có tham số truy vấn
- 22. Các truy vấn multiline sql-injection có an toàn không?
- 23. Thực hiện yêu cầu GET và xây dựng Chuỗi truy vấn
- 24. đặt url tham chiếu với yêu cầu ajax
- 25. Sử dụng cơn lốc xoáy.httpclient.AsyncHTTPClient.fetch() để thực hiện yêu cầu GET cùng với tham số
- 26. JavaScript không an toàn để truy cập khung bằng URL
- 27. Trang bị thêm 2 - Tham số truy vấn URL
- 28. Làm thế nào để Flask giữ yêu cầu toàn cầu an toàn
- 29. Yêu cầu java được gửi đến một địa chỉ HTTPS hoàn toàn an toàn chưa?
- 30. Symfony2 có xử lý url an toàn đúng cách và tôi có nên sử dụng url an toàn không?
Ngoài ra, những người dùng chưa được đào tạo có thể sao chép và dán một URL có mã thông báo, điều này có thể dẫn đến việc cướp quyền truy cập không chủ định về cơ bản. – Gray
Nếu điểm cuối là REST, có nhiều trường hợp bạn phải sử dụng phương thức GET. Bên cạnh đó, nếu yêu cầu tải xuống, bạn thậm chí không thể sử dụng ajax. –
Điều gì về một 'exp' <2 phút hợp lý ngắn. cộng với một chuyển hướng thứ hai (sau khi 'jwt' đã được ứng dụng thu thập)? Chuyển hướng thứ hai chỉ đơn giản là ngăn chặn các vấn đề sao chép và dán. Nếu trình duyệt của bạn bị xâm nhập, ngay cả tiêu đề cũng sẽ không giúp bạn tiết kiệm cho bạn khỏi mã thông báo bị đánh cắp. –