Help us learn about your current experience with the documentation.
Take the survey.
使用 GET 请求方法处理敏感查询字符串(Authorization 头部详情)
描述
在请求 URL 中检测到授权头部值。这些头部通常包含用户名和密码或 JWT 令牌。这些值不应通过 GET 请求发送,因为它们可能会被代理系统捕获、存储在浏览器历史记录中,或存储在日志文件中。如果攻击者能够访问这些日志或日志系统,他们就能够访问目标账户。
修复建议
授权头部详情绝不应通过 GET 请求发送。在传输敏感信息(如 JWT 令牌)时,始终使用 POST 请求或头部来传输敏感数据。
详情
| ID |
聚合 |
CWE |
类型 |
风险 |
| 598.3 |
true |
598 |
Passive |
Medium |
链接