我被限制为对来自javascript应用程序的API请求使用JSONP。
整个javascript应用程序将通过SSL托管。
由于我们在使用JSONP时仅限于GET请求,使用GET请求向API发送登录凭据(用户名/密码)可以吗?
我想,如果我们不使用SSL,那就不会了,但这没关系,因为我们确实使用了。对的
谢谢!
是和否。如果您使用SSL,那么在传输中,无论使用何种http方法,您的数据都是安全的。但是,使用POST而不是GET可能会为XSRF类型的攻击增加一个级别的保护(事实并非如此,您需要某种形式的显式XSRF保护令牌,使用POST或GET)。但大多数登录表单都不包含XSRF保护令牌,主要是因为这种类型的攻击旨在使用不知情用户的已激活登录会话。
因此,如果您没有使用ssl,那么POST/GET没有什么大的区别,并且当您使用ssl时,没有任何变化,利用错误方法的攻击会针对系统的其他部分/服务。您的密码/登录配对与当前许多web应用程序一样安全。
附言:您必须注意,根据http服务器的配置,您的密码可能会存储在日志文件中,并使用参数转储已访问的url。(IEEE遇到了这样的问题,他们使用get方法登录用户)。