URLにエンコードされたユーザー名とパスワードを渡す場合(例:https:// Aladdin:[email protected]/index.html)
クライアントは実際にこれをAuthorizationヘッダーで送信していますか?この種のURLエンコードには、サーバー側でどのような処理が必要ですか?
クライアントは実際にこれをAuthorizationヘッダーで送信していますか?
それはクライアントが何であるかに依存します。クライアントがブラウザの場合、答えはノーです。実験結果は次のとおりです。
一般的に、ブラウザはセキュリティ上の理由から、URLでプロアクティブに送信された認証情報を無視します。
ただし、クライアントが開発ツールの場合、認証情報はbase64でエンコードされ、Authorizationヘッダーとして送信される場合があります。これがいくつかの実験結果です:
認証ヘッダーが送信されるかどうかは、ツールの設計によって異なります。
この種のURLエンコードには、サーバー側でどのような処理が必要ですか?
サーバー側では、Authorizationヘッダーからbase64でエンコードされた文字列を取得してデコードし、それが有効かどうかを確認するだけです。
URLの例でHTTPプロトコルを使用した場合、何か違いはありますか?
セキュリティのために、はい、HTTPを介したAuthorizationヘッダーは非常に安全ではありません。Base64のエンコード/デコードはセキュリティ上の利点をもたらさず、誰でもデコードできます。
それ以外は同じです。
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加