post真的安全么?

最新推荐文章于 2024-05-10 19:46:21 发布
最新推荐文章于 2024-05-10 19:46:21 发布
阅读量359 收藏
点赞数
文章标签: 网络 后端
原文链接:http://www.cnblogs.com/ouzi/archive/2012/10/16/2726778.html
版权

经常听到有人这样说,PostGet更安全,似乎这种想法充满了整个网络,带给人根深蒂固的影响,但是Post真的比Get更安全么?

Http请求方式

Http请求发送方式常用的就是以下两种:

     Get机制

     Post机制

Get机制

Get机制的限制,比如最大1024字节,这个略去不表,Get最大的特点是提交时将参数通过url来发送。

Post机制

Post机制,实际是将数据http的数据部分,只不过不在url里面显示罢了。

请求举例

Get机制

例如:请求这个url: http://topic.csdn.net/u/20121016/08/2f7960fd-31bd-44ee-bec5-ed297af60039.html?seed=996321166&r=79901963

可以看出这是明显的get方式,有参数,通过chome浏览器得到

  

url里面就可以得到数值,但是如果是底层的调用,比如ajax请求,就不会在浏览器的地址栏中有显示,比如下面的请求:

 

Post机制

比如:博客园的登录请求:

http://passport.cnblogs.com/login.aspx?ReturnUrl=http%3a%2f%2fwww.cnblogs.com%2f

通过浏览器得到:

 

可以看到,这是post请求,并且地址栏里是没有参数信息,更没有密码等等信息,但是往下看,没错,Post请求一样,是将内容以明文的方式在传输,以下通过wireshark截包来看:

 

数据包的发送,如下: 

 

上图蓝色部分是Post的数据部分,post其实只是将数据写到了http尾部,如此而已。所以此处从安全上来讲,与不显示的后端ajaxGet请求,其实在安全性上是一样的。所以post更安全么,不见得,因为post的设计之初,本来就不是为了安全而来的。

扩展一下

Ajax跨域

不让ajax跨域,这样就来得合理了,因为如果允许跨域,那只需要写几行js代码,这样就会造成重要信息(比如密码)的泄漏。

Tcp连接个数

现代的浏览器,为了加快下载(加载)速度,已经将RFC文档里面的”should be at most 2 connections”中的should理解的出神入化,因为RFC里面仅仅是should而不是must,所以现代的浏览器同时允许建立的tcp连接一般是超过2tcp连接的。

Tcp协议

就像上篇TCP连接检测里面提到的那样,“tcp只是数据的发送与接收,包括握手,断开以及rsttime_waitclose_wait 等等。“,Http同样如果,知道协议,其实自己写一个简单的IIS真不费力。

最后

前面提到,TCP的连接个数,说到这里突然想到了一个问题,同时也再深入的扩展一下,为什么一台机器connect同一个IPporttcp连接数不能超过65535(当然实际65535也是达不到的)个呢?

 

答案请看这里《tcp的65535个连接之迷》 

 

 

转载于:https://www.cnblogs.com/ouzi/archive/2012/10/16/2726778.html

weixin_30583563
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php模拟post行为代码总结(POST方式不是绝对安全
01-20
//要post的数据 $argv = array( ‘var1’=>’abc’, ‘var2’=>’你好吗’); //构造要post的字符串 foreach ($argv as $key=>$value) { if ($flag!=0) { $params .= “&”; $flag = 1; } $params.= $key.”=”; $...
Android Studio发起POST网络请求
05-10
在Android应用开发中,发起POST网络请求是与服务器交互的重要环节。Android Studio作为官方推荐的集成开发环境(IDE),提供了丰富的工具和库来简化这一过程。本文将详细讲解如何在Android Studio中使用Java语言和...
GET 和 POST安全性比较与讨论
Border_town_boy的博客
11-02 8981
简述 “get”安全,还是“post安全?这或许是大家总结两者必须要分析的内容,因为这涉及到我们将内容从浏览器传送到服务器的安全性,选择不当将带来巨大的不安全因素,从而可能带来巨大的损失。 两者最基本区别 GET请求通过URL(请求行)提交数据,在URL中可以看到所传参数。POST通过“请求体”传递数据,参数不在url中显示 GET请求提交的数据有长度限制,POST请求没有限制。 GET请...
HTTP 的POST 方法比 GET 方法安全性比较
qq_49641239的博客
07-01 1698
POST的数据在地址栏上不可见,看上去,比 GET 安全。但从传输的角度来说,POST与GET 都是不安全的,因为 HTTP 在网络上是明文传输的,只要在网络节点上捉包,就能完整地获取数据报文。 要想安全传输,就只有加密,也就是 HTTPS。 ...
get请求post请求的区别,安全
最新发布
m0_63102097的博客
05-10 229
GET 请求POST 请求是HTTP协议中常用的两种请求方法,它们在使用场景和安全性方面有一些显著的区别。
关于http的PUT、DELETE等方法到底安不安全的讨论
CHEndorid的博客
12-16 1万+
本文主要记录我们的讨论过程及结论,具体测试代码就不贴了。 一、背景 最近研发让我开一下服务器的put、delete方法,被我以不安全的http方法给拒绝了。 研发表示我很无理,put怎么就是不安全的了,在他看来,put和post只是语义上的不同。如果put是不安全的方法,那么post也是不安全的方法了。 网上的说法也是分为两派,一派说这些都是不安全的方法,要关掉;另一派说它们只是语义上的区别,不存在安不安全。 二、一探究竟 经过我和研发各自编写测试用例来论证后,我明白了为什么有这样的分歧:我是
[转]GET和POST的真正区别
weixin_30674525的博客
04-25 412
最普遍的答案   GET使用URL或Cookie传参。而POST将数据放在BODY中。 GET的URL有长度上的限制,则POST的数据则可以非常大。 ST比GET安全,因为数据在地址栏上不可见。 但是很不幸,这些区别全是错误的,更不幸的是,这个答案还是Google搜索的头版头条,然而我根本没想着这些是答案,因为在我看来他们都是错的。我来一一解释一下。 ...
如何保障HTTP请求安全性?
swadian2008的博客
02-10 2146
请求体的内容:请求体中的内容由具体的请求数据构成,可以是表单数据、JSON数据、XML数据、二进制数据等。对请求体进行安全检测:可以采用一定的安全检测技术,如WAF(Web应用程序防火墙)等,对请求体进行实时监控和检测,及时发现和防范安全威胁。对请求体进行访问控制:可以采用一定的访问控制策略,对请求体进行权限控制和鉴别,只允许授权用户访问请求体数据,从而保障数据的安全性。:在使用HTTP协议时,可以对请求体进行加密,采用对称加密或非对称加密等加密方式,确保请求体数据的机密性和完整性。
Web应用安全:HTTP协议POST方法.pptx
06-18
- **安全与隐私**:由于POST请求的数据不显示在URL上,相比GET请求,它更有利于保护用户的隐私信息。 **2. 消息体(Message Body)** POST请求中,数据被封装在消息体中。消息体的长度由`Content-Length`头信息指定...
POST.rar_C post_POST_POST服务端_数据安全
07-15
特别好用的利用vchttp传输,利用post传输大数据到服务端,安全可靠的的传输,无需等待传输时间。
Web应用安全:Get、POST参数越权.pptx
06-18
本文主要关注的是Get和POST参数越权问题,这是Web应用程序安全中一个常见的漏洞类型,可能导致敏感数据泄露和用户隐私破坏。 1. **水平越权访问**:这是一种发生在同一权限级别的用户之间的安全问题。当系统没有...
利用POST进行用户登录的安全问题剖析
萧动的专栏
06-05 1万+
POST是一种提交
关于post安全登录
程序员小董的专栏
04-06 989
大家都知道,登录的时候,不能直接用get方式,传递数据,因为get方式直接把数据加到url请求后面#这样是不安全的# 那反过来?用post就一定安全么? 即使用了post,请求没有直接跟在url上,但是在网络上依然是明文传播的,它依然是不安全的 那怎么办呢? 直接md5加密呗 这样一来即使有人追踪你的网络包,他看到的也只是加密后的数据,没有办法知道你的真实数据# 真的是这样的么? 一半一半吧 因...
面试官:POST 比 GET 安全吗?你理解就是错的
开发者技术前线-DevolperFront
09-02 1829
点击“开发者技术前线”,选择“星标????”在看|星标|留言, 真爱作者:南柯之石链接:http://www.cnblogs.com/nankezhishi/archive/2012/...
讨论“get”和“post安全
热门推荐
学会改变自己——才能突破
01-19 2万+
“get”安全,还是“post安全?这或许是大家总结两者必须要分析的内容,因为这涉及到我们将内容从浏览器传送到服务器的安全性,选择不当将带来巨大的不安全因素,从而可能带来巨大的损失。这篇博客,我将阐述一下,当然更多的还是希望各位大神发表一下见解,讨论一下下!             首先,我们来看一下两者最基本的区别: GET请求通过URL(请求行)提交数据,在URL中可以
前端面试常见问题之HTTP状态码
Mrxcguo的博客
10-07 2664
一、基本概念 HTTP 状态码是客户端向服务端发起请求后,服务端返回的状态码及状态信息,状态码一般由三位数字组成,状态码的首字母一共有5种,分别是1-5,代表着5种不同的类型信息。以下是类型信息与具体的状态码信息。 二、状态码类别 1xx:通知信息,http服务器接收到请求,等待客户端的进一步消息发送。 100(“Continue”):继续发送请求(服务端已经接收到一部分,继续发送剩下的请求)。 101(“Switching Protocols”):切换不同的协议,可切换到高版本的协议或者其他协议。在使用
get和post请求的区别?
06-12
总的来说,GET方法更加简单快速,可以缓存,但是安全性不如POST方法,因为GET请求的参数附在URL上,而POST请求的参数放在HTTP请求体中,不能直接在浏览器地址栏中看到。因此,如果需要传输敏感数据,建议使用POST...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值