問:
有些和地理位置相關的信息需要通過API 發送到後臺服務. 除了放在JSON 格式的body裏, 如果放在url中, 或者header中, 是否有隱私暴露的風險?
答:
HTTPS 會加密 header 和 body,而 URL 中 hostname 之後的部分是存在於 header 中的。
但注意 hostname 一般是會被明文傳送的,因爲 SNI。比如:
https://www.google.com/search?q=test 中的 www.google.com 部分
另外 DNS 解析請求也會暴露 hostname,發送到 DNS 服務器。
一個 request header 例子 (在 unix 環境執行):
curl -vs 'https://www.google.com/search?q=test' > /dev/null
結果中可以找到發送出去的 header:
> GET /search?q=test HTTP/2 > Host: www.google.com > User-Agent: curl/7.54.0 > Accept: */*
所以:
除了 hostname 以外,其它部分都會加密。
另外一個需要注意的情況是用戶如果直接以 http 發送請求且服務器的 80 端口開啓,請求內容還是會泄露,即使服務器配置了跳轉。對於這種情況可以考慮使用 HSTS。
參考文獻: