Security 地址栏中的用户名和密码

一旦我登录到我的网站（聊天室），URL就会包含uid=myusername&pass=mypass，并且它会无限期地停留在那里，甚至在聊天时也不会消失

客人能否嗅出我的地址栏中有什么，特别是这是一个与许多其他用户的聊天室。 客人可以使用任何工具或方法窃取这些信息吗？如果客人想闻一闻，他会怎么做（一步一步）。。。 我已经知道我应该将方法更改为post，但这也是我的研究论文，关于攻击者如何发现用户的地址栏，即使不在同一网络上。

---

如果可能，请帮助…

是。他们可以通过几种方式发现这些信息。如果聊天室支持发送图像或链接，他们可以向您发送他们控制的机器上的图像或页面的URL。当浏览器请求该项目时，它会传递一个带有引用者url的标题。在本例中，它将是页面及其参数的URL

另一种方法是，如果他们可以访问托管服务的服务器上的访问日志。他们通常可以看到其中的参数

---

我肯定还有其他的。

为什么不使用history.replaceState更新url而不重新加载页面

window.history.replaceState(statedata, title, YOUR_URL_WITHOUT_LOGIN_INFO);

---

打开新窗口后，当文档准备就绪时，您可以调用此函数。它是

http

还是

https

？通过聊天向用户发送链接。如果用户遵循它，将有一个包含用户来自的URL的链接。它不是一个安全的http连接，但链接不会在站点中打开。。。用户需要打开一个新选项卡，攻击者还可以做什么？他们可以使用一种不访问服务器的方式吗？并且不使用链接，因为我不允许在聊天中使用链接