Http 在GET请求中发送用户电子邮件安全吗？

我想从应用程序后端检索数据。为了做到这一点，我必须通过前端网站的API请求发送用户的电子邮件

在GET请求或POST请求中发送用户电子邮件是一种好的做法吗？更具体地说，因为您不想让其他第三方看到，所以不将用户电子邮件作为URL参数，这是一种良好的做法吗

---

谢谢

嗯，POST请求对于从日志中隐藏GET参数更好。

---

您所能做的最好的事情就是加密正在传输的数据。您可以将POST请求与SSL加密一起使用，这对于常规系统来说已经足够好了。

您绝对希望使用

POST

请求而不是

GET

请求来查询电子邮件地址，因为

GET

请求应该决不能用于发送敏感信息

记住这一点，您还必须考虑从端点开始要做什么。如果您只是请求有关电子邮件地址的public信息（例如解析服务器名称或IP），那么

GET

请求就足够了

请记住，无法通过GET请求传递任何授权标题，因此，如果您正在查询相关电子邮件地址是否在您的网站上有注册帐户，任何人都可以通过垃圾邮件请求找到您用户的电子邮件地址，直到收到200条回复（这样验证一个已注册的电子邮件），知道一个有效的用户的电子邮件地址可以作为一个攻击向量在稍后的阶段。 简而言之，您很可能需要

POST

。如果您纯粹是在查询有关电子邮件所在域的信息，请使用

GET

。

“请记住，您不能通过

GET

请求传递任何授权标头”-这根本不是真的。您当然可以（以及您想要的任何其他HTTP标头）。无法在

GET

请求中传递的是消息正文，因此如果使用

GET

而不是

POST

，则必须使用URL查询字符串或自定义HTTP标头来传递所查询的电子邮件地址。