Les paramètres d'entrée sont affichés dans les en-têtes de réponse, qui sont vulnérables aux menaces de sécurité.

Question

Lorsque le formulaire est affiché, les paramètres d'entrée sont affichés dans les en-têtes de réponse, ce qui est vulnérable aux menaces de sécurité. Je ne veux pas montrer ces paramètres d'entrée dans l'en-tête de réponse. Exemple

POST /genaw/reports/adv/RelatedPartyEdit.jsp HTTP/1.1 Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/vnd .ms-excel, application/vnd.ms-powerpoint, application/msword, application/application x-ms, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml + xml, / Referer: https://localhost:8002/genaw/reports/adv/RelatedPartyEdit.jsp Accept-Language: fr-us User-Agent: Mozilla/4.0 (compatible, MSIE 8.0, Windows NT 5.1, Trident/4.0, .NET CLR 2.0.50727, InfoPath.2, .NET CLR 3.0. Type de contenu: application/x-www-form-urlencoded Accept-Encoding: gzip, dégonfler : localhost: 8002 Content-Length: 265 Connection: Keep-Alive Cache-Control: no-cache Cookie: JSESSIONIDmw = ll3bMpLCMPgJYW3XLpZ8LC4n41b8C14VglWlRyQzFhm7DP444nrs -1676166811; _WL_AUTHCOOKIE_JSESSIONIDmw = kbyAU [zA14srFNxXskf5; JSESSIONIDaw = BQQcMpvBpzDHWNg8B2q22vMRyJWJ07n9lZT3hv7NLLlJXG4ZfvQC! 1597653939; _WL_AUTHCOOKIE_JSESSIONIDaw = qD6ZP9yPcM4AGa] NdFxo; JSESSIONIDiw = 1JjDMpybh00qK5hJpbBmXdwjWK34py7b57PZv5wp3ZCc9SCzpQ3z! 1597653939

de = & cmd = changepwdaction & OrgID = sant & nicknamefilter = & fullnamefilter = & rolefilter = & rpuniqueid = 4817 & parentRpuniqueid = 102 & IDNUM = 102 & org = sant & conseiller = SAN165 & pseudo = 596148956 & password = & password2 = & nom complet = LOZOSEKSH & rôle = 6 & iwReportsAllow = 2 & iwReportsAllow = 3 & = Mise à jour Soumettre

Je veux cacher les valeurs des paramètres en caractères gras, sinon mon site est accessible en tant que localhost: 8002/genaw/rapports/adv/RelatedPartyEdit.jsp de = & cmd = changepwdaction & & OrgID = sant nicknamefilter = & fullnamefilter = & rolefilter = & rpuniqueid = 4817 & & parentRpuniqueid = 102 = 102 IDNUM & & org = sant conseiller = SAN165 & & pseudo = 596148956 password = & password2 = & fullname = LOZOSEKSH & role = 6 & iwReportsAllow = 2 & iwReportsAllow = 3 & = Mise à jour Soumettre

Comment éviter les paramètres de la requête en en-têtes de réponse pour éviter les menaces de sécurité.

Answer 1

Cela ne me ressemble pas à un problème http. Il ressemble beaucoup plus aux en-têtes Request qu'aux en-têtes de réponse. Les paires nom/valeur en gras ne sont que des éléments de votre formulaire. Si vous avez besoin de ces valeurs sur le serveur, vous devez soit accepter le fait qu'ils soient envoyés en texte brut, passer à https pour que la connexion soit cryptée ou effectuer un cryptage des valeurs vous-même. Ceci est assez difficile bien sûr puisque tout cryptage devra être javascript et donc entièrement visible pour tous les utilisateurs malveillants.

Si vous n'avez pas besoin de ces valeurs sur le serveur, retirez-les de votre formulaire.