我想从应用程序后端检索数据。为此,我必须通过前端网站的API请求发送用户的电子邮件。
在GET请求或POST请求中发送用户电子邮件是一种好习惯吗?更具体地说,是否因为不希望其他第三方看到用户电子邮件而将其作为URL参数,这是一种好习惯吗?
谢谢
答案 0 :(得分:3)
您绝对希望使用POST请求而不是GET请求来查询电子邮件地址,因为GET请求应该从不用于发送敏感信息。
请记住,您还必须首先考虑对端点所做的事情。如果您只是索要有关电子邮件地址的 public 信息(例如解析服务器名称或IP),那么一个GET请求就足够了。
请紧记,您不能通过GET请求传递任何授权标头,因此,如果您要查询类似的电子邮件地址是否在您的网站上具有注册帐户,任何人可以通过向用户发送垃圾邮件来找出您用户的电子邮件地址,直到他们收到200条响应(从而验证了已注册的电子邮件)。而且知道有效用户的电子邮件地址可能会在以后成为攻击媒介。
简而言之,您最有可能需要POST。仅在纯粹查询有关电子邮件托管域的信息时,才使用GET。
答案 1 :(得分:2)
好吧,POST请求更适合从日志中隐藏GET参数。 您能做的最好的-加密传输的数据。您可以将POST请求与SSL加密一起使用,这对于常规系统已经足够了。