Ответ
При перехвате HTTP-запроса можно получить:
- URL (с параметрами)
- Метод (GET, POST и т.д.)
- Заголовки (Cookies, User-Agent, Authorization и др.)
- Тело запроса (для POST/PUT – логины, пароли, данные форм)
- Время отправки
HTTPS шифрует тело и заголовки (кроме домена), но метаданные (URL, метод) могут быть видны.
Пример уязвимого HTTP-запроса:
resp, err := http.Get("http://example.com/login?user=admin&pass=123") // Пароль в URL!
Рекомендации:
- Всегда используй HTTPS
- Не передавай секреты в URL/заголовках
- Для аутентификации – JWT в заголовке
Authorization