У меня есть веб-сервис, который вызывается через GET в ajax.
Кто-то указал, что мы создали уязвимость на нашей странице, потому что, когда пользователь выходит из системы, вызовы GET сохраняются в истории браузера (я проверял это и до сих пор обнаружил, что это утверждение ложно, и до сих пор не могу сохранить его). в истории).
Есть ли способ (с помощью плагинов или без / с), чтобы люди могли сохранять вызовы скриптов в истории браузера? Если да, то действительно ли изменение метода вызова на POST решает что-либо.
ВАЖНО: угроза безопасности не в том, что они могут попытаться сгенерировать запрос (для этого у нас есть идентификаторы безопасности), проблема в том, могут ли они прочитать разумную информацию в URL.