Метод HTTP GET будет передавать данные по URL-адресу, как в https://www.example.com/users?id=1
. Если я использую HTTPS, соединение будет безопасным, но конфиденциальные данные в ссылке все равно будут регистрироваться на сервере, обрабатывая ссылку, запрошенную клиентом, и раскрывают секреты, которые будут впоследствии приобретены каким-то хакером.Как защитить метод REST GET?
OWASP recommends не хранит ничего на ссылках, так как он может быть зарегистрирован на веб-сервере.
Но REST использует GET для получения данных, так как «Чтение» будет выполняться в операции CRUD
.
Вопрос в том, Как я могу сделать безопасный вызов GET в REST?
EDIT: Один из примеров: OWASP говорит НЕ включать API ключ на адрес URL, но так как все данные, передаваемые по запросу в GET помещается на URL, как бы я послать ключ API для сервер в другом, чтобы разрешить ответ GET от этого пользователя, так как я не могу разместить его в самом URL-адресе?
OWASP не объясняет, как достичь этого.
Вы должны быть более конкретными в отношении того, что действительно представляют собой важные данные. Для разных видов данных требуются различные виды защиты. – DaSourcerer
Я имею в виду любые данные, которые, если регистрируются, будут скомпрометированы. Дело не в том, как защитить внутренние данные, передаваемые через GET, а в том, как безопасно использовать GET. – mFeinstein
Что я понял. Итак, еще раз: какие данные? – DaSourcerer