Security 发布带有敏感数据的HTTPS GET请求的安全影响

对URL中的敏感数据执行HTTPS/SSL GET操作是否存在任何安全隐患？这会以明文形式记录在IIS日志中吗？是否可以在开放的WiFi接入点上嗅探网络流量请求

---

i、 e.

问题最好在这里回答：

URL是加密的

但是，明文可能会显示在目标服务器的日志中，因为服务器将对其进行解密，并根据设置将值存储在日志中

唯一可嗅探的部分是dns部分。在本例中，请访问www.websiteurl.com

也就是说，您最好不要在querystring上使用用户名为/pw的get请求

编辑 我想再多加一点

GET

请求的完整未加密URL在浏览器历史记录中可用。如果某个东西能够嗅探浏览器历史记录，那么它就可以完全访问查询字符串中的任何内容

HTTP参考问题。如果用户单击指向其他站点的链接，则可以将URL提交到第三个站点 在#2和#4之间，对敏感数据使用查询字符串是不明智的。

我写的同样适用。这不是一个好主意，浏览器缓存URL，容易受到社会工程的影响，它出现在服务器日志中

改用POST或基本身份验证。

HTTPS是SSL/TLS之上的HTTP。这意味着HTTP交互的全部内容，包括URL，都是加密的。只有网络级别的信息（如服务器的IP地址和端口）是未加密的

然而，同时，这只是网络级别的安全性——接收请求的任何web服务器都将在将请求传递给任何托管web应用程序之前对其进行解密（可能会将其保留在日志中）。如果您选择使用基本身份验证，HTTPS将保护最明显的问题（以明文发送密码），但它已经做到了

---

您提到这是两个系统之间交换的数据，我认为这意味着您正在实现连接的客户端。在这种情况下，无论您如何发送数据（GET/POST/headers/等等），您都需要格外小心地验证所连接机器的SSL证书。如果中间人能让你用他的密钥而不是你信任的服务器的密钥加密数据，那么加密敏感数据对你毫无帮助。这是一个。

这不会受到社会工程的影响，因为它被用来在两个系统之间交换数据。任何书签、缓存或任何类似性质的内容都不适用。然而，服务器日志是一个问题，所以有一点值得注意。我倾向于同意Chris Loer的回答，即URL是通过SSL加密的，但是不这样做还有其他考虑因素（或者我遗漏了什么？。@Claude:我也喜欢Chris Loer的回答。原因很简单，我的显然是错的。查找的DNS部分没有加密，该行上的其他内容都是加密的。不管怎么说，这个问题是2009年的问题的翻版。我想删除这个，但这是公认的答案，我不能这样做。相反，我将只更改答案本身。的可能副本