1
我使用的方法非常相似的一个实现识别API密钥的做法,客户端使用Web服务: http://blogs.msdn.com/b/rjacobs/archive/2010/06/14/how-to-do-api-key-verification-for-rest-services-in-net-4.aspx安全隐患
我的问题是关于安全...该服务通过了第三方公司进行的一些安全测试。他们的一个“低风险”评论(即不需要立即关注的评论)就是参数以httpget的形式传递。该服务纯粹是为了检索信息。但是,apikey位于查询字符串中......例如一个URL可能是
https://url.com/companies?company_name=searchforthiscompany&address=paris&apikey=a-long-guid
“言下之意: 当参数作为HTTP GET请求的一部分传递,他们更有可能 存放在中间或其他服务器日志文件,一个奇怪的用户有可能看到 敏感信息,如APIKey。
建议: 如果可能,参数应作为HTTP POST主体的一部分传递。
如果这是我的东西需要担心?能够将浏览器的网址切换到浏览器并获取结果是很好的。你会在这种情况下更改所有使用POST的方法吗?
任何了解赞赏