Безопасно ли отправлять параметр в заголовок http

Question

Как я знаю, когда клиент отправляет http-запрос на сервер, по соображениям безопасности мы не должны отправлять секретный параметр по URL-адресу запроса.

Многие люди говорят, что мы должны использовать тело для присоединения параметра, я согласен

Но что, если я использую заголовок для их отправки? Это безопасно, как тело? Кто-то говорит, что это небезопасно, как тело, но не может объяснить, почему, пожалуйста, помогите

Спасибо

Answer 1

Просто откройте консоль отладки в вашем браузере, и вы увидите, что нет никакой разницы. С точки зрения TCP весь запрос - это просто текстовый файл с несколькими новыми строками между заголовками и телом. И как только вы отправляете запросы по незашифрованному каналу (http), человек в центре может захватить все. Нет безопасного места. С другой стороны, если вы используете https , ваше соединение зашифровано (на более низком уровне - TCP), и тело и заголовки достаточно безопасны для передачи конфиденциальной информации. Единственное «неправильное» место даже на https - это URL, так как кто-то за вашим плечом может увидеть ваши секреты в адресной строке браузера.