HTTP1.1を定義しているRFC7231の4章および9章には、メソッドの使い分けに関する注意ガイドラインは以下となっている。
・GETメソッドは参照のみに用いる
・GETメソッドは副作用がないことを期待される
・秘密情報の送信にはPOSTメソッドを用いること
秘密情報をPOSTとして送信すべき理由は下記のとおりである。
・URL上に指定されたパラメータがreferer経由で外部に漏洩する
・URL上に指定されたパラメータがアクセスログに残る
・URL上のパラメータがブラウザのアドレスバーに表示され他人に覗かれる
・パラメータつきURLを利用者がネットワークなどで共有してしまう
これらより、以下要件のいずれかに該当する場合はPOSTにすべきである
・データ更新などが発生する
・秘密情報を送信する場合
・送信するデータ量が多い場合
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
- 作者: 徳丸浩
- 出版社/メーカー: SBクリエイティブ
- 発売日: 2018/06/21
- メディア: 単行本
- この商品を含むブログを見る