フォーム認証 - Karai On Knowledge

---

フォーム認証時のセキュリティ考慮事項

---

• フォーム認証を行う画面はPOSTメソッドを使うのが鉄則である。
• GETメソッドを使うと、パスワードがURLのパラメータに残り以下のようなことが懸念されるからである。
  • ブラウザのURL履歴にパスワード付きのURLが残ってしまう場合がある。
  • プロキシサーバを経由している場合、プロキシサーバのアクセスログにパスワード付きのURLが残ってしまう場合がある。
    • これに関しては、POSTでも残そうと思えば残せる。そもそもHTTPでフォーム認証をするとパスワードが生でネットワークを流れるので、HTTPSを使うべきである(「 パーフェクトJava 」の467ページが参考になる)。

---

---