Можно ли просмотреть/проверить HTTP-запрос от Java в браузере
Я делаю HTTP-запрос с Java, используя
HttpURLConnection con = (HttpURLConnection) url.openConnection();
Используемая библиотека — org.apache.http.client.
По какой-то причине тег body в HttpPost пуст, когда он достигает конечной точки. (RequestParameters). Для меня это отдельный вопрос о переполнении стека. Мне пришлось отправить запрос по строке запроса.
Параметры строки запроса содержат учетные данные имени пользователя и пароля, так как он запрашивает токен. Я боюсь, что учетные данные будут видны, поскольку это делается по строке запроса, хотя запрос будет проходить через HTTPS (а HTTPS зашифрован). Но я был бы менее обеспокоен, если бы запрос был POST с полезной нагрузкой.
Я не хочу, чтобы кто-либо просматривал этот запрос, т.е. браузер приходит мне на ум. HTTP-запрос не отображается в адресной строке или в Chrome Inspect (вкладка «Сеть»).
Тем не менее, могут ли HTTP-запросы Apache, сделанные с Java, теоретически проверяться браузером? (независимо от POST с полезной нагрузкой или строкой запроса)
Кстати. параметры запроса, отправляемые через соединения HTTPS, зашифрованы и, таким образом, не виден при атаке «человек посередине», хотя по-прежнему не рекомендуется добавлять важные для безопасности элементы в параметры запроса, т. е. избегать передачи учетных данных при копировании URL-адресов по незащищенным каналам (незашифрованная почта, ссылки на страницы, ...)
Ответы 1
Ответ - нет, насколько мне известно. Вы сможете просматривать запросы, исходящие из вкладки браузера в инструментах разработчика.
Если вы хотите видеть сетевые вызовы, исходящие из всей вашей системы, вы можете использовать такие инструменты, как Чарльз Прокси.
Итак, если у Джо есть Charles Proxy в его системе и он входит в мое веб-приложение (www.mywebapp.com/login), он может видеть, что его имя пользователя и пароль отправляются через HTTP-запрос на токен?
вы сможете увидеть запрос, ответ, содержимое заголовка и т. д.
Вы можете попробовать это.
Я запутался, вы используете
HttpURLConnectionJava илиHttpClientApache (3/4)? Последний сможет регистрировать необработанные запросы и ответы, настроив логбэк, т.е. с помощью<logger name = "org.apache.http.wire" level = "debug"/>.