¿Se puede proteger una cadena de consulta en una URL de sniffing sin HTTPS?

  

Estaba usando wireshark y esperaba ver un JSESSIONID en un HTTP   solicitud, pero no parece estar allí para las solicitudes HTTP. yo podría   ver mi propio JSESSIONID sin embargo.

JSESSIONID es una cookie que generalmente está marcada con las marcas "seguro" y "sin secuencia de comandos". El indicador "seguro" le dice a los navegadores compatibles que no envíen esa cookie a través de HTTP, solo HTTPS.

  

¿Las solicitudes de actualización inseguras ayudan a proteger el rastreo de un formulario de cadena de consulta?

El encabezado de solicitud de Solicitud insegura / actualización HTTP envía una señal al servidor expresando la preferencia del cliente por una respuesta cifrada y autenticada ... más: enlace

Si el servidor recibe la solicitud con Upgrade-Insecure-Requests: 1 , puede redirigir al cliente que expresó la preferencia por las solicitudes seguras a la versión HTTPS del sitio.

EN GENERAL:

La cadena de consulta es parte de la URL en la solicitud. La URL aparece en la línea de solicitud de la solicitud HTTP:

GET /some/url?a=b HTTP/1.1

Para protegerlo de la inhalación, necesita SSL / TLS que establezca una sesión TCP segura antes de enviar datos y luego encripta la comunicación / datos.

En primer lugar, utilizar HTTP para transmitir datos confidenciales no es una buena idea si utiliza cadenas de consulta o cualquier otro mecanismo porque es vulnerable de muchas maneras. Incluso si está utilizando HTTPS, hay muchos aspectos que debe tener en cuenta al implementar.

  

proteger una cadena de consulta

Creo que estás preocupado por ataques como XSS y SSRF aquí? Si está utilizando datos en la cadena de consulta, debe realizar saneamiento de datos , codificación de URL y, lo más importante, validación de datos del lado del servidor como bien antes de procesar sus datos.