Входные параметры отображаются в заголовках ответов, которые уязвимы для угроз безопасности - должны избегать того же

Question

Когда форма публикуется, входные параметры отображаются в заголовках ответов, что уязвимо для угроз безопасности.Я не хочу показывать эти входные параметры в заголовке ответа.Пример

POST /genaw/reports/adv/RelatedPartyEdit.jsp HTTP / 1.1 Принять: image / gif, image / jpeg, image / pjpeg, image / pjpeg, application / x-shockwave-flash, application / vnd.ms-excel, application / vnd.ms-powerpoint, application / msword, application / x-ms-application, application / x-ms-xbap, application / vnd.ms-xpsdocument, application / xaml + xml, / Referer: https://localhost:8002/genaw/reports/adv/RelatedPartyEdit.jsp Accept-Language: en-us User-Agent: Mozilla / 4.0 (совместимый; MSIE 8.0; Windows NT 5.1; Trident / 4.0; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) Тип содержимого: application / x-www-form-urlencoded Accept-Encoding: gzip, deflate Хост: localhost: 8002 Длина содержимого: 265 Подключение: Keep-AliveCache-Control: no-cache Cookie: JSESSIONIDmw = ll3bMpLCMPgJYW3XLpZ8LC4n41b8C14VglWlRyQzFhm7DP444nrs! -1676166811;_WL_AUTHCOOKIE_JSESSIONIDmw = kbyAU [zA14srFNxXskf5;JSESSIONIDaw = BQQcMpvBpzDHWNg8B2q22vMRyJWJ07n9lZT3hv7NLLlJXG4ZfvQC 1597653939!;_WL_AUTHCOOKIE_JSESSIONIDaw = qD6ZP9yPcM4AGa] NdFxo;JSESSIONIDiw = 1JjDMpybh00qK5hJpbBmXdwjWK34py7b57PZv5wp3ZCc9SCzpQ3z! 1597653939

от = & CMD = changepwdaction & orgid = сант & nicknamefilter = & fullnamefilter = & rolefilter = & rpuniqueid = 4817 & parentRpuniqueid = 102 & idNum = 102 & орг = сант и советник = SAN165 & ник = 596148956 & пароль = & password2 = & FullName = LOZOSEKSH и роль = 6 & iwReportsAllow = 2 & iwReportsAllow =3 & Отправить = Обновить

Я хочу скрыть значения параметров, выделенные жирным шрифтом, иначе мой сайт может быть доступен как localhost: 8002 / genaw / reports / adv / RelatedPartyEdit.jsp? From = & cmd = changepwdaction & orgid =sant & nicknamefilter = & fullnamefilter = & rolefilter = & rpuniqueid = 4817 & parentRpuniqueid = 102 & idNum = 102 & org = sant & advisor = SAN165 & псевдоним = 596148956 & пароль = 596148956 & пароль = имя_файла2 = & полное имя = LOZOSEKSH & роль = не требовать ответа на запросы пользователей:угроз.

Answer 1

Это не похоже на проблему http для меня. Это также больше похоже на заголовки запроса, чем на заголовки ответа. Пары имя / значение, выделенные жирным шрифтом, являются просто элементами вашей формы. Если вам нужны эти значения на сервере, вы должны либо согласиться с тем фактом, что они отправляются в виде простого текста, переключиться на https, чтобы зашифровать соединение, либо выполнить некоторое шифрование значений самостоятельно. Это, конечно, довольно сложно, так как любое шифрование должно быть javascript и, следовательно, полностью видимым для любых злоумышленников.

Если вам не нужны эти значения на сервере, извлеките их из формы.