HTTPS 中的查询字符串参数在 DNS 解析器中可见吗?

HTTPS 中的查询字符串参数在 DNS 解析器中可见吗?

在我正在进行的一个项目中,有一个案例,我们必须将 JWT 令牌作为查询参数发送给另一个服务。出于安全原因,我的一位同事认为该令牌将被 DNS 解析器看到并捕获。这是真的吗?

在发送查询字符串中可见的令牌时是否还应该注意其他安全问题?

答案1

DNS 并不关心你尝试访问的实际 URL,只关心域名(即www.example.com)。换句话说,您的计算机/浏览器不会告诉 DNS 服务器完整的 URL。这是为实际的 Web 服务器(nginx、Apache 等)保留的。请记住,进行 DNS 查找还有其他与网站无关的原因。

在发送查询字符串中可见的令牌时是否还应该注意其他安全问题?

如果查询字符串包含可以修改记录的数据,则应考虑使用 POST。此外,如果查询字符串是人类可读的,则很容易被共享,从而以这种方式泄露数据。

https://www.example.com/page?username=mysecretusername

相关内容