网站地图    收藏   

主页 > 后端 > 网站安全 >

post真的安全么? - 网站安全 - 自学php

来源:自学PHP网    时间:2015-04-17 12:00 作者: 阅读:

[导读] 经常听到有人这样说,Post比Get更安全,似乎这种想法充满了整个网络,带给人根深蒂固的影响,但是Post真的比Get更安全么?Http请求方式Http请求发送方式常用的就是以下两种:① Get机制...

经常听到有人这样说,Post比Get更安全,似乎这种想法充满了整个网络,带给人根深蒂固的影响,但是Post真的比Get更安全么?

Http请求方式

Http请求发送方式常用的就是以下两种:

①     Get机制

②     Post机制

Get机制

Get机制的限制,比如最大1024字节,这个略去不表,Get最大的特点是提交时将参数通过url来发送。

Post机制

Post机制,实际是将数据http的数据部分,只不过不在url里面显示罢了。

请求举例

Get机制

例如:请求这个url: http://topic.csdn.net/u/20121016/08/2f7960fd-31bd-44ee-bec5-ed297af60039.html?seed=996321166&r=79901963

可以看出这是明显的get方式,有参数,通过chome浏览器得到

  \

从url里面就可以得到数值,但是如果是底层的调用,比如ajax请求,就不会在浏览器的地址栏中有显示,比如下面的请求:

 \

Post机制

比如:博客园的登录请求:

http://passport.cnblogs.com/login.aspx?ReturnUrl=http%3a%2f%2fwww.cnblogs.com%2f

通过浏览器得到:

 \

可以看到,这是post请求,并且地址栏里是没有参数信息,更没有密码等等信息,但是往下看,没错,Post请求一样,是将内容以明文的方式在传输,以下通过wireshark截包来看:

 \

数据包的发送,如下: 

 \

上图蓝色部分是Post的数据部分,post其实只是将数据写到了http尾部,如此而已。所以此处从安全上来讲,与不显示的后端ajax的Get请求,其实在安全性上是一样的。所以post更安全么,不见得,因为post的设计之初,本来就不是为了安全而来的。

扩展一下 www.2cto.com

Ajax跨域

不让ajax跨域,这样就来得合理了,因为如果允许跨域,那只需要写几行js代码,这样就会造成重要信息(比如密码)的泄漏。

Tcp连接个数

现代的浏览器,为了加快下载(加载)速度,已经将RFC文档里面的”should be at most 2 connections”中的should理解的出神入化,因为RFC里面仅仅是should而不是must,所以现代的浏览器同时允许建立的tcp连接一般是超过2个tcp连接的。

Tcp协议

就像上篇TCP连接检测里面提到的那样,“tcp只是数据的发送与接收,包括握手,断开以及rst,time_wait,close_wait 等等。“,Http同样如果,知道协议,其实自己写一个简单的IIS真不费力。

最后

前面提到,TCP的连接个数,说到这里突然想到了一个问题,同时也再深入的扩展一下,为什么一台机器connect同一个IP,port的tcp连接数不能超过65535(当然实际65535也是达不到的)个呢

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论