面试题4:POST 比 GET 安全?

最新推荐文章于 2024-07-08 22:45:00 发布
最新推荐文章于 2024-07-08 22:45:00 发布
阅读量420 收藏
点赞数 1
分类专栏: 常见面试题 文章标签: 安全 GET POST HTTPS HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63191002/article/details/139901530
版权

不是。HTTP就没有加密功能。

我们知道 GET一般将参数放到URL的查询字符串中,如果是实现登录页面,我们的用户名和密码就直接显示到浏览器的地址栏中了,此时就会轻易的被他人获取账号密码,很不安全。而POST会把参数放到 body 里,不会直接显示在URL上,所以更安全。

完全不是!上面的依据完全不对。

虽然把用户名密码这些参数放到URL上的确不好,但是放到POST的body里也不见得就是安全,抓个包,就能看到body的信息了。

一般我们提到的网络安全,指的是:数据被黑客截获之后。不会造成信息泄漏的影响。

只要代码中敏感信息(密码、账户金额…)没有进行加密,数据都谈不上安全。

HTTPS具有一定加密功能,但是实践中,主要还是会通过业务上的代码来进行加密。
在这里插入图片描述

z'nonsense日记
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端大厂最新面试-GET_POST.docx
06-06
四、GETPOST 方法的安全性 * GET 方法的请求参数直接暴露在 URL 上,因此不安全 * POST 方法的请求参数放在 Request body 中,相对来说更安全 * 但是,从传输的角度来说,GETPOST 方法都是不安全的,因为 ...
面试官:POSTGET 安全吗?你理解就是错的
开发者技术前线-DevolperFront
09-02 1826
点击“开发者技术前线”,选择“星标????”在看|星标|留言, 真爱作者:南柯之石链接:http://www.cnblogs.com/nankezhishi/archive/2012/...
Restful风格编程面试
06-18
Restful风格编程面试 Restful风格编程简介 Restful风格编程是一种软件架构风格、设计风格,而不是标准,只是提供了一组设计原则和约束条件。主要用于客户端和服务器交互类的软件,基于这个风格设计的软件可以更...
java面试第六部分:java高频面试
05-13
- **RESTful**:基于HTTP协议,使用HTTP方法(GETPOST、PUT等)来操作资源,适合开放的API接口,如移动互联网场景。 - **区别**: - 基础协议不同:RPC基于TCP,RESTful基于HTTP。 - 传输速度:RPC通常更快,...
腾讯校园招聘历年经典面试汇总:前端岗
01-10
这些面试旨在评估应聘者的实际操作能力、问解决技巧和对前端技术栈的深入理解。下面,我们将详细探讨这些关键知识点。 1. HTML(超文本标记语言): - 基础语法:理解各种标签的作用,如`<div>`、`<span>`、`...
Java面试16.http get post请求的区别.mp4
09-09
Java面试16.http get post请求的区别.mp4
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
亚信安全官方账号的博客
07-04 305
亚信安全发布2024年6月威胁态势
警钟!电池储能安全事故频发!物联网技术如何加强储能安全排查?
olzorange的博客
07-08 116
物联网技术的应用为储能安全排查提供了从源头预防到快速响应的全链条解决方案。
[图解]SysML和EA建模住宅安全系统-09-流程指南·分析系统需求
rolt的专栏
07-04 872
然后这一步,你看,这里有个决策点
[终端安全]-5 移动终端之操作系统安全
wendywm0496的博客
07-08 592
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
【易捷海购-注册安全分析报告】
weixin_46641057的博客
07-05 1130
易捷国际作为中石化易捷旗下专业跨境电商平台,大概是因为和阿里有战略合作层面的关系, 所以在选的不是常见的类似极验、腾讯等滑动拼图类产品, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
用XDR的思路保护API安全
AKAMAI_CHINA的博客
07-08 675
云计算飞速发展的今天,越来越多应用程序已经转为选择云原生架构,这就少不了Serverless、微服务、API等技术的协助。但同时也有越来越多的企业认识到,一定程度的“API安全”在整体安全与合规态势中发挥着至关重要的作用。然而,对很多企业来说,可能并不太明确API安全技术投资在其更广泛安全栈中的位置。
谷歌正在试行人脸识别办公室安全系统
网络研究观
07-04 1136
谷歌正在测试面部识别技术用于办公室安全,以帮助防止未经授权的个人进入园区。
案例精选 | 聚铭综合日志分析系统为江苏省电子口岸构建高效安全的贸易生态
juminfo的博客
07-05 591
江苏省电子口岸有限公司,成立于2009年,由江苏省贸促会携手南京海关、江苏检验检疫局及江苏海事局等部门共同出资组建。公司承载着推动江苏乃至长三角地区国际贸易便利化的重大使命,致力于打造一个集先进性、创新性、高效性于一体的电子口岸综合服务平台,为国际贸易的参与者提供全方位、一站式的服务。随着跨境电子商务的迅猛发展,每日处理的报关单证、物流信息等数据量呈指数级增长,这对公司的信息化管理能力提出了前所未有的挑战,特别是在安全合规、数据处理效率及业务连续性方面。
监控与安全服务
2401_84376072的博客
07-03 247
kali系统提供了一个名为john的工具,可用于密码破解。
深入Java安全管理器与沙箱环境构建
weixin_53840353的博客
07-03 733
Java安全管理器是一个运行时环境中的组件,它通过检查应用程序的权限来控制应用程序的行为。当应用程序尝试执行一个受限操作时,安全管理器会检查是否允许该操作。如果不允许,则抛出异常。首先,我们可以创建一个自定义的安全管理器,以更细粒度地控制权限。@Override// 允许所有权限@Override// 禁止读取某些文件@Override// 禁止写入某些文件通过使用Java安全管理器和自定义策略文件,我们可以构建一个安全的沙箱环境,限制应用程序的权限,防止恶意代码对系统造成损害。
加密与安全_密钥体系的三个核心目标之不可否认性解决方案
最新发布
小工匠
07-08 332
解释消息认证码的基本概念及其局限性。介绍数字证书及其在身份认证中的重要性。解释CA的角色和PKI的基本概念。描述CA的主要功能及证书的层级结构。讨论证书在安全通信中的必要性。说明信任CA的原因。在消息认证码中,我们可以证明消息没有发生过篡改。但却无法证明这个消息就是 Alice 发给 Bob 的。因为计算消息认证码所需的数据,Bob 和 Alice 都有,所以从理论上 Bob 是可以伪造这条"消息"的。如果想做到消息的"无可抵赖性",就需要证明"Alice 是 Alice"。
等保测评推动哈尔滨数字化转型中的安全保障
2301_79527080的博客
07-08 109
例如,哈尔滨市政府门户网站在等保测评的框架下,构建了坚固的网络安全屏障,确保了政府信息和服务的安全性。同时,哈尔滨的企业,尤其是金融、医疗和制造等行业,通过等保测评,加强了数据保护,提升了业务连续性,增强了客户信任。结语等保测评在哈尔滨数字化转型中发挥着不可替代的作用,它不仅保障了信息系统的安全,还促进了企业与政府的数字化升级,增强了社会整体的网络安全防御能力。在哈尔滨的数字化转型过程中,等保测评扮演着至关重要的角色,它不仅帮助组织识别和降低安全风险,还促进了安全意识的提升,确保数字化转型顺利进行。
【东奥会计-注册安全分析报告】
weixin_46641057的博客
07-05 874
东奥会计作为老牌的会计专业在线培训机构,背靠北大这颗大树,技术实力雄厚,但在验证产品方面,不是自己研发而是采用第三方的阿里的滑动条, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
面试6:springboot如何跨域请求
03-26
在Spring Boot中实现跨域请求可以通过以下几种方式: 1. 使用注解:可以在Controller类或者方法上使用`@CrossOrigin`注解来允许跨域请求。例如: ```java @RestController @CrossOrigin(origins = "http://example.com") public class MyController { // ... } ``` 上述代码表示只允许来自"http://example.com"域的请求进行跨域访问。 2. 配置类:可以创建一个配置类来配置跨域请求。例如: ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://example.com") .allowedMethods("GET", "POST", "PUT", "DELETE") .allowedHeaders("*") .allowCredentials(true) .maxAge(3600); } } ``` 上述代码表示允许所有路径的请求来自"http://example.com"域,允许的请求方法包括GETPOST、PUT和DELETE,允许的请求头为任意值,允许携带凭证(如Cookie),并设置最大缓存时间为3600秒。 3. 使用Filter:可以创建一个Filter来处理跨域请求。例如: ```java @Component public class CorsFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.setHeader("Access-Control-Allow-Origin", "http://example.com"); httpResponse.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); httpResponse.setHeader("Access-Control-Allow-Headers", "*"); httpResponse.setHeader("Access-Control-Allow-Credentials", "true"); httpResponse.setHeader("Access-Control-Max-Age", "3600"); chain.doFilter(request, response); } } ``` 上述代码通过设置响应头来允许跨域请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值