Domain-Name-System
HTTPS 中的查詢字元串參數在 DNS 解析器中是否可見?
我正在處理的一個項目中有一個案例,我們必鬚髮送一個 JWT 令牌作為另一個服務的查詢參數。由於安全原因,我的一位同事認為該令牌將被 DNS 解析器可見並擷取。這是真的?
關於發送在查詢字元串中可見的令牌是否還有其他安全問題?
DNS 不關心您嘗試訪問的實際 URL,只關心域名(ie
www.example.com
)。換句話說,您的電腦/瀏覽器不會告訴 DNS 伺服器整個 URL。這是為實際的 Web 伺服器(nginx、Apache 等)保留的。請記住,進行與網站無關的 DNS 查找還有其他原因。關於發送在查詢字元串中可見的令牌是否還有其他安全問題?
如果查詢字元串包含可以修改記錄的數據,則應考慮使用 POST。此外,如果查詢字元串是人類可讀的,它可以很容易地被共享,從而以這種方式洩漏數據。
https://www.example.com/page?username=mysecretusername