サーバーへのGETリクエストとPOSTリクエスト)を通じてトークン(JWTトークンなど)を送信する際のセキュリティに関する推奨事項を探します。
2つのオプションがあります。
注:接続の保護にはTLSが使用されます。
どちらのオプションも基本的には同じですが、リクエストのみが少し異なります。ただし、GETを介して機密データを送信する場合は、さらにいくつかのリスクが伴います。
選択肢がある場合は、GETの代わりにPOSTを使用してください。OWASPトップ10では Session Management についても推奨されます。 URL:セキュリティトークンも同様の目的で使用されるため、セキュリティトークンについても言えます。
典型的なケースは、Authorization
ヘッダーを介してJWTトークンを送信することです。
多くのサーバー側コンポーネントがヘッダーの長さを制限しているため、トークンのサイズが大きすぎる場合、リクエスト本文を介してトークンを送信する必要がある場合があります(SOで この質問 を確認してください)。この場合、POSTのみを使用する必要があります。GETリクエストの場合、トークンはブラウザーのURL履歴またはURLをログに記録するコンポーネントに開示される可能性があるためです。
したがって、多くのサーバー側またはプロキシが気に入らないため、JWTトークンのサイズを低く保つことをお勧めします。