标签: javascript ajax security service get
我有一个通过ajax中的GET调用的Web服务。
有人指出我们在页面中创建了一个漏洞,因为当用户注销时,GET调用存储在浏览器历史记录中(我已对此进行了测试,并且到目前为止发现此声称是错误的,到目前为止我无法存储它在历史上)。
有没有办法(通过插件或w / e)人们可以在浏览器历史记录中存储脚本调用?如果是这样,将调用方法更改为POST确实可以解决任何问题。
重要提示:安全威胁不是因为他们可以尝试生成请求(我们有安全ID),问题是他们是否可以在网址中读取合理的信息。