Help us learn about your current experience with the documentation.
Take the survey.
使用 GET 请求方法处理敏感查询字符串(密码)
描述
在请求 URL 中发现了用户的密码。密码绝不应该通过 GET 请求发送,因为它们可能会被代理系统捕获,存储在浏览器历史记录中,或存储在日志文件中。如果攻击者能够访问这些日志或日志系统,他们将能够访问目标账户。
修复建议
密码绝不应该通过 GET 请求发送。在验证用户身份或请求用户重置密码时,始终使用 POST 请求来传输敏感数据。
详情
| ID |
Aggregated |
CWE |
Type |
Risk |
| 598.2 |
true |
598 |
Passive |
Medium |
链接