Como se explica aquí , los datos confidenciales en la parte de consulta de la URL (como un token secreto de la API) es principalmente un problema si se accede a la URL directamente en el navegador y, por lo tanto, se puede ver en la barra de la URL y se almacena en el historial del navegador.
Pero las solicitudes de API generalmente se realizan en el fondo de una aplicación o mediante una solicitud de AJAX en segundo plano y, por lo tanto, es mucho menos probable que se encuentre en una situación en la que la URL de solicitud de API simple se presenta a un usuario. Por lo tanto, los peligros de los datos confidenciales en la URL son insignificantes para una API.
También tenga en cuenta que a través de HTTPS se encripta la solicitud HTTP completa, incluida la parte de consulta. Solo el nombre de host ( api.instagram.com
) se expondría a un MITM como efecto secundario de SNI.