我正在处理的一个项目中有一个案例,我们必须发送一个 JWT 令牌作为另一个服务的查询参数。由于安全原因,我的一位同事认为该令牌将被 DNS 解析器可见并捕获。这是真的?
关于发送在查询字符串中可见的令牌是否还有其他安全问题?
AskOverflow.Dev
我正在处理的一个项目中有一个案例,我们必须发送一个 JWT 令牌作为另一个服务的查询参数。由于安全原因,我的一位同事认为该令牌将被 DNS 解析器可见并捕获。这是真的?
关于发送在查询字符串中可见的令牌是否还有其他安全问题?
DNS 不关心您尝试访问的实际 URL,只关心域名(ie
www.example.com)。换句话说,您的计算机/浏览器不会告诉 DNS 服务器整个 URL。这是为实际的 Web 服务器(nginx、Apache 等)保留的。请记住,进行与网站无关的 DNS 查找还有其他原因。如果查询字符串包含可以修改记录的数据,则应考虑使用 POST。此外,如果查询字符串是人类可读的,它可以很容易地被共享,从而以这种方式泄漏数据。