问题描述
From CWE598 敏感信息应使用 POST 请求发送。为什么 CAS 协议使用如下所示的 GET 请求发送票证值?在这种情况下它应该被认为是安全的吗?来自图片:
“设置会话 cookie 并将浏览器转发回已删除服务票证的应用程序。此可选步骤可防止浏览器地址栏显示 ST”
我的疑问是:如果浏览器已经发送了一个包含 URL 中的票证值的 GET 请求,那么票证可能已经记录在某处,还是我错了?
解决方法
为什么 CAS 协议使用如下所示的 GET 请求发送票证值?
服务票据没有任何“敏感”之处。
我的疑问是:如果浏览器已经发送了一个包含 URL 中的票证值的 GET 请求,那么票证可能已经记录在某处,还是我错了?
这不是协议的一部分,取决于实现。 Apereo CAS 软件在“门票注册表”中跟踪门票