Domain-Name-System

HTTPS 中的查詢字元串參數在 DNS 解析器中是否可見?

  • April 3, 2020

我正在處理的一個項目中有一個案例,我們必鬚髮送一個 JWT 令牌作為另一個服務的查詢參數。由於安全原因,我的一位同事認為該令牌將被 DNS 解析器可見並擷取。這是真的?

關於發送在查詢字元串中可見的令牌是否還有其他安全問題?

DNS 不關心您嘗試訪問的實際 URL,只關心域名(ie www.example.com)。換句話說,您的電腦/瀏覽器不會告訴 DNS 伺服器整個 URL。這是為實際的 Web 伺服器(nginx、Apache 等)保留的。請記住,進行與網站無關的 DNS 查找還有其他原因。

關於發送在查詢字元串中可見的令牌是否還有其他安全問題?

如果查詢字元串包含可以修改記錄的數據,則應考慮使用 POST。此外,如果查詢字元串是人類可讀的,它可以很容易地被共享,從而以這種方式洩漏數據。

https://www.example.com/page?username=mysecretusername

引用自:https://serverfault.com/questions/1010560