HTTP GETメソッドは、https://www.example.com/users?id=1
のようにURL経由でデータを転送します。 HTTPSを使用すると接続は安全ですが、クライアントの要求したリンクを処理しているサーバーのログに機密データが記録され、後でハッカーによって取得される機密情報が公開される可能性があります。それは、WebサーバーにログオンすることができますようREST GETメソッドを保護する方法は?
OWASP recommendsは、リンク上で何かを格納していません。
しかしCRUD
操作の場合と「読む」とRESTは、データを取得するためにGET使用しています。
そこで質問はがどのように私はRESTに安全なGET呼び出しを行うことができ、ありますか?
EDIT:一つの例:OWASPは、URLアドレスのAPIキーを含まないように言いますが、GETリクエストで送信されたすべてのデータがURLに置かれているので、はどのように私はAPIキーを送信します私はそれをURL自体に置くことができないので、そのユーザーからのGET応答を認可するために、他のサーバーは?
OWASPは、これを実現する方法については説明しません。
その機密データが本当に何であるかについて、より具体的に説明する必要があります。異なる種類のデータは、異なる種類の保護を必要とする。 – DaSourcerer
私は、記録されているとデータが漏洩する可能性のあるデータを意味します。 GETを介して送信される内部データを保護する方法は問題ありませんが、GETを安全に使用する方法については問題ありません。 – mFeinstein
私はそれを理解しました。もう一度:どのようなデータですか? – DaSourcerer