Есть ли разница в безопасности между http-заголовками и http-телом?

Question

Я собираюсь создать почтовый запрос, и я использую токен, почему я должен поместить токен в заголовки вместо тела запроса?Я так понимаю, что тело более безопасно, чем http-заголовки, так ли это?

или единственная причина, по которой токен помещается в заголовки, состоит в разделении и поддержании согласованности между несколькими методами в нашем API

Answer 1

Было обсуждение вопросов безопасности, связанных с передачей данных в url vs body.Суть в том, что urls регистрируется промежуточными серверами чаще, и поэтому в журналах может появляться конфиденциальная информация.

Если мы продолжим эту идею для headers/body, я бы предположил, что заголовки с большей вероятностью будутвошли по сравнению с телом.По крайней мере, в наших приложениях мы, по-видимому, регистрируем запросы вместе с заголовками.

С точки зрения криптографии все они равны, поскольку передаются все вместе.

Answer 2

Заголовок более удобен для сервера.

Представьте себе API, в который вы загружаете файл в качестве тела для PUT - если бы токен был также в теле, вам бы пришлось каким-то образом заняться кодированием тела.чтобы было понятно, что такое токен и какой загруженный файл.

Если body - это JSON, вы можете поместить токен рядом с телом (в этом случае вы не можете просто JSON.parse, вам нужночтобы снова декодировать, как они сочетаются друг с другом) или вы можете похоронить токен внутри JSON (в этом случае вам нужно загрузить весь JSON и проанализировать его, прежде чем вы сможете получить токен).

Заголовок может бытьдоступ к нему перед загрузкой тела - поэтому, если злонамеренный агент выполняет DoS-атаку на ваш сервер, отправляя вам тонны 100-мегабитных запросов, вы можете обнаружить отсутствие надлежащей авторизации, как только получены заголовки, и отключить соединение безнеобходимость загружать и анализировать полезную нагрузку 100 МБ.

Я не вижу никакой пользы от наличия токена в теле, в отличие от головного мозга.т.