18
GETリクエストのクエリパラメータとして、jwt(json webトークン)をURLに入れても安全ですか?GETリクエストのクエリパラメータとしてjwtをURLに入れても安全ですか?
A
答えて
22
これは以下の状況で安全であることができる:
- JWTは、ワンタイム時間の使用のみ
jtiとexp特許請求の範囲は、受信機が正しく再生保護を実装するトークン- で存在します
jtiとexp
を使用していますが、繰り返すことができるトークンとして使用される場合例えば使用することができる。 APIに対してクエリパラメータとして供給することは、サーバーやクライアントシステムにアクセスできる他のユーザーが利用できるログやシステムプロセス情報になる可能性があるため、あまり好ましくありません。その場合、ヘッダーまたはPOSTパラメーターの一部として提示するほうがよいでしょう。
さらに、クエリパラメータでこれを使用すると、ブラウザやサーバーのURLサイズの制限に合わせて実行することができます。ヘッダーでそれを使用すると、POSTパラメーターが最もうまくいくので、それを使用してスペースを増やすことができます。
-2
URLに機密情報を含めないでください。 jwtを暗号化し、GETメソッドを使用してURLに含めることができます。ただし、ハッカーの中には機密情報が含まれていると問題を引き起こすものもあります。したがって、機密でない場合は、それを含めることができます。そうでなければ、POSTやセッションのような別の方法を使用します。
+22
Eh ...リクエストタイプはハッカーからの保護のために何もしません。なぜ彼らはあなたのGETリクエストを読むことができるでしょうが、POSTリクエストは読めませんか?彼らがあなたの接続をタップした場合、それは同じように見えます。 SSL/TLSの場合、クエリ文字列も保護されます。 – Gray
+2
ブラウザの履歴にクエリパラメータが表示されます。リモートの敵には見えませんが、セキュリティ上の弱点です。 – dnault
+0
偶発的なデータの流出に関連します。トークンをスクラップしてGoogleで配信していますそれでも、セキュリティのために、トークンは時間/使用に制限されている必要があります。 –
関連する問題
- 1. 安全なJavascriptのGETリクエスト
- 2. ステートレスコールバックをBlockingQueueに入れても安全ですか?
- 3. SEF URLのmod_rewriteに頼っても安全ですか?
- 4. ajaxリクエストを使用してセッションを維持しても安全ですか?
- 5. *これを参考にしても安全ですか?
- 6. 電子メールパスワードをrails rbファイルに入れても安全ですか?
- 7. Socket.LocalEndPointを一意のIDとして使用しても安全ですか?
- 8. スタックにQLayoutを作成しても安全ですか?
- 9. エルキャピタンにPythonを再インストールしても安全ですか?
- 10. Scala/Play:シングルトンにデータを残しても安全ですか?
- 11. 配列をGETクエリパラメータとしてPythonで取得する
- 12. ビューアロケートでASINetworkQueueのすべてのリクエストを安全にキャンセルする
- 13. 次のコードを見直しても安全ですか?
- 14. MongoDB:文書のIDを「公開」しても安全ですか?
- 15. IntelliJのシステムディレクトリを削除しても安全ですか?
- 16. SQLサーバーのクラスタード・インデックスを削除しても安全ですか?
- 17. main()からLoadLibraryを呼び出しても安全ですか?
- 18. Android Studioで.gradleフォルダを削除しても安全ですか?
- 19. slamsテンプレートでparamsを呼び出しても安全ですか?
- 20. ndbタスクレット内でimages.get_serving_url_async()を使用しても安全ですか?
- 21. ManualResetEvent.WaitOne()でObjectDisposedExceptionを捕捉しても安全ですか?
- 22. Retrofitを使って `&`でパラメータを付加したURLのGETリクエスト
- 23. ブラウザのアドレスバーに入力されたものはGETリクエストですか?
- 24. Apache commons-io IOUtils.close Quietlyを使用しても安全ですか?
- 25. ファブリックAPIキーを公開しても安全ですか?
- 26. 複製リレーbinファイルを削除しても安全ですか?
- 27. android.net.sipフレームワークを使用しても安全ですか?
- 28. Carthage.resolvedを無視しても安全ですか?
- 29. SSL - 同じページに安全なものと安全でないもの
- 30. ASP.NET MVC3入力は、クエリパラメータを使用してGETを実行します
また、訓練を受けていないユーザーは、トークンを含むURLをコピー&ペーストして、意図しないセッションのハイジャックにつながる可能性があります。 – Gray
エンドポイントがRESTの場合は、GETメソッドを使用する必要があります。また、リクエストがダウンロードされる場合は、ajaxを使用することもできません。 –
合理的に短い「exp」<2分はどうでしょうか? 2番目のリダイレクト( 'jwt'がアプリによって収集された後)? 2番目のリダイレクトは単にコピー&ペーストの問題を防ぐためです。あなたのブラウザが侵害された場合でも、ヘッダでさえ、あなたがトークンを盗まれるのを防ぐことはできません。 –