Если пользователь нажимает кнопку, которая делает сообщение (скажем, имеет имя пользователя и пароль в сообщении), и эти учетные данные успешно проходят проверку подлинности. Если я сделал перенаправление на совершенно другое приложение (поэтому я не могу переносить сеанс и т. Д.), И я использую GET с именем пользователя и паролем в querystring (я мог бы даже использовать базовое шифрование, если это помогает, но независимо), а затем, когда он попадает на страницу, я проверяю, чтобы убедиться, что она появилась на странице, которую я ожидал от нее, вытащить значения из строки запроса, поместить их в переменную сеанса и затем перенаправить обратно на ту же страницу (удаление строки запроса так что они не могут быть просмотрены пользователем). Все это происходит через SSL на том же сервере.URL-адрес вопроса о безопасности Querystring (ASP.NET)
Может ли кто-нибудь указать на дыры в безопасности кого-то, перехватывающего имя пользователя и пароль в этом сценарии?
Спасибо за ответ. Я знаю, что это вообще не рекомендуется, но я хотел знать, где * дыра в безопасности. Клиент никогда не должен действительно видеть запрос, потому что перенаправления происходят на сервере, и я очищаю URL-адрес до того, как он попадет на клиент, верно? – EdenMachine
Браузер увидит URL-адрес и может даже кэшировать его. По крайней мере, я предлагаю вам установить cookie (с доменом = другой веб-сайт) вместо передачи значений в querystring. –
«потому что перенаправления происходят на сервере», это неверно. Сервер в основном отправляет HTTP-ответ, который сообщает клиенту перейти на другую страницу. –