Pasar información confidencial o personal como parámetros de consulta generalmente se considera un problema, ya que se revela de muchas maneras que los datos de POST no lo son. Consulte, por ejemplo, la pregunta similar " Debe datos confidenciales ¿Alguna vez se pasó en la cadena de consulta? "OWASP tiene una breve descripción del problema: Exposición de la información a través de cadenas de consulta en url .
Los principales problemas generalmente se consideran
- Marcadores e historial del navegador si alguien tiene acceso al navegador
- Acceda a los registros en el destinatario deseado de la consulta (o cualquier proxy entre usted y el destinatario)
- Que los parámetros de consulta se incluyan en el encabezado del "remitente" enviado a otros servidores.
Lo que hace que este caso sea particularmente interesante es que la información en cuestión es en realidad un token de identificación firmado. Posiblemente pueda usarse para autenticar a los usuarios en otros proveedores de servicios (aunque esto requiere una implementación defectuosa en un proveedor de servicios, un tipo de agente confuso problema).
La inclusión de tokens de ID de esta manera es realmente recomendada por el estándar OpenID Connect, como el id_token_hint . Se puede POSTAR, pero la mayoría de las implementaciones (pocas como son) que he visto, usan parámetros de consulta. Por lo tanto, hacer que los desarrolladores de tu servicio cambien esto podría ser un reto.