Большая часть различий между отправкой данных в URL и заголовком / телом запроса заключается в том, что что-то регистрируется (другая проблема связана с тем, что данные кэшируются / сохраняются в браузере, но это не проблема для вас).
Таким образом, наиболее очевидная проблема с URL-адресом заключается в том, что любой промежуточный прокси-сервер (включая балансировщики нагрузки, wafs, кто знает, что именно) регистрирует параметры URL-адреса, и в большинстве случаев целевой сервер также будет регистрировать.Злоумышленник может получить доступ к таким журналам, раскрывая потенциально конфиденциальную информацию.Это могут быть не только внешние злоумышленники, думающие о людях, вовлеченных в операции, но и не реальные пользователи приложения - это иногда имеет большое значение.Также логи будут копироваться в резервные копии и так далее.Поэтому не рекомендуется отправлять конфиденциальную информацию в URL-адресах в целом .
Сказав это, я могу представить сценарии и компенсирующие элементы управления, которые позволили бы отправлять конфиденциальную информацию в URL-адресе приемлемо вконкретный случай, но вы должны тщательно продумать свою модель угрозы.Не использовать браузер в качестве клиента - хорошее начало, но далеко не достаточно.