地址栏中的用户名和密码

Question

一旦我登录到我的网站(聊天室)，URL就包含uid=myusername&pass=mypass，它会无限期地停留在那里，并且永远不会离开，甚至在聊天时也是如此。

访客是否可以嗅到我的地址栏中的内容，特别是这是一个与许多其他用户的聊天室。访客可以使用任何类型的工具或方法来窃取这些信息吗？如果一个客人想要闻它，他会怎么做(一步一步)……我已经知道我应该将方法更改为post，但这也是为了我的研究论文，即攻击者如何即使不在同一网络上也能找到用户的地址栏。如果可能的话请帮助我。

Answer 1

是。他们可以通过几种方式发现这些信息。如果聊天室支持发送图像或链接，他们可以向您发送他们控制的计算机上的图像或页面的URL。当您的浏览器请求该项目时，它会传递一个带有引用url的标题。在本例中，它将是页面的URL及其参数。

另一种方法是，如果他们有权访问您托管服务的服务器上的访问日志。一般来说，他们可以看到其中的参数。

我相信可能还有其他人。

Answer 2

为什么不用重载页面就可以用history.replaceState更新网址呢？

window.history.replaceState(statedata, title, YOUR_URL_WITHOUT_LOGIN_INFO);

您可以在打开新窗口后，当文档准备就绪时调用此函数