Html 哪种参数传递方式更安全:URL、隐藏字段还是cookie?
我正在使用intraweb,它为我提供了3个传递参数的选项Html 哪种参数传递方式更安全:URL、隐藏字段还是cookie?,html,security,parameters,intraweb,Html,Security,Parameters,Intraweb,我正在使用intraweb,它为我提供了3个传递参数的选项 在url中使用?参数 使用隐藏字段 使用cookies 就我的代码而言,我选择哪个选项并不重要,框架将我从中抽象出来 但是,哪一个对用户的篡改更安全?从安全的角度来看,在服务器上所有这些都应该被同等对待。仅仅因为变量是通过鸽子传递而不是GET传递的,这并不意味着它是安全的。它仍然来自邪恶的用户 因此,请确保您对所有这些应用程序使用完全相同的安全机制。它们都可以使用免费提供的工具轻松复制/修改,因此我建议使用最适合您的应用程序的工具-它们
?但是,哪一个对用户的篡改更安全?从安全的角度来看,在服务器上所有这些都应该被同等对待。仅仅因为变量是通过鸽子传递而不是GET传递的,这并不意味着它是安全的。它仍然来自邪恶的用户
因此,请确保您对所有这些应用程序使用完全相同的安全机制。它们都可以使用免费提供的工具轻松复制/修改,因此我建议使用最适合您的应用程序的工具-它们在安全性方面是等效的,不应信任任何一个 考虑使用服务器端发布的加密散列来防止篡改您选择的任何选项。它们都不安全(尽管不清楚您确切的意思是什么样的安全)
当然,一个明显的区别是url参数总是可见的——如果用户创建书签或向某人发送url,参数也会随之变化。在url参数中传递数据可能会超过url的长度限制,并可能干扰书签(或成为一项功能!)。作为cookie传递存在用户关闭cookie(或客户端不支持cookie)的风险。作为隐藏字段传递是最可移植的 这些方法本身都不提供任何级别的安全性
编辑:lance在这篇优秀文章中提出的一个建议是将敏感数据存储在服务器上,只向客户端传输cookie。这是cookie一词的另一种用法,更恰当的说法是将其称为会话id,它可以使用您正在考虑的三种方法中的任何一种在服务器和客户端之间来回传输。对于已经说过的内容,我想补充一点,当url中有参数时,让用户创建书签-[不是真实地址]. 因此,在某些情况下,这可能比其他两个选项更好。您可以使用
http://example.com