В проекте, над которым я работаю, был случай, когда нам пришлось отправить токен JWT в качестве параметра запроса для другой службы. Из соображений безопасности один из моих коллег утверждал, что токен будет виден и захвачен преобразователями DNS. Это правда?
Есть ли какие-либо другие проблемы безопасности, которые следует учитывать при отправке токена, видимого в строке запроса?
DNS не имеет отношения к фактическому URL-адресу, который вы пытаетесь достичь, а только к доменное имя (т.е. www.example.com). Другими словами, ваш компьютер / браузер не сообщит DNS-серверу весь URL-адрес. Это зарезервировано для реального веб-сервера (nginx, Apache и т. Д.). Помните, что есть и другие причины для поиска DNS, не связанные с веб-сайтами.
Есть ли какие-либо другие проблемы безопасности, которые следует учитывать при отправке токена, видимого в строке запроса?
Если строка запроса содержит данные, которые могут изменять записи, вам следует рассмотреть возможность POST. Кроме того, если строка запроса удобочитаема, ее можно легко передать, что приведет к утечке данных.
https://www.example.com/page?username=mysecretusername