我的一位同事说,使用spring默认登录输入参数会带来安全风险。我没有问他为什么。我不相信,因为https连接会在发布时对参数进行加密。进行一些澄清将有所帮助。谢谢。

最佳答案

如果不对他为什么会存在风险做出一些解释,这很难说。

唯一(非常小的)问题可能是有人可能看到了他们并且能够猜测您正在使用Spring Security。但这本身并不是固有的风险。标准Java EE Servlet安全性还使用j_usernamej_password作为登录参数。

无论如何,您都可以更改配置中的名称,以及表单提交到的URL。您还可以change the session cookie name使其不那么明显,甚至在使用Java应用程序。当然,如果您的应用程序具有.jsp URL,并且在出现问题时将堆栈跟踪信息转储回用户,那么这都不重要。

我想请你的同事自己解释一下,并为他的主张以及他为什么认为这是一个问题提供一些证据。更改参数是个好主意,但如果不这样做,则不太可能成为主要风险。

10-08 19:45