WebAPIはGETメソッドでも問題ないか？

WebAPIをPHP（cURL）で取得しています。
一般的にはPOSTメソッドの方がサーバのアクセスログにパラメータが残らないためセキュリティが高いと聞きますが、
WebAPIの場合はGETメソッドでも問題ないでしょうか？
WebAPIサーバのアクセスログなので気にする必要はないと認識しているのですが、間違っていますか？

行動規範の内容に同意します

回答3件

おっしゃるとおり、送信・受信の際になんらかのはずみに漏れる可能性が高いのがGETなのです。
なので、

webapiの送信・受信に内容に重要なデータが入っている時はPOSTを使い（もちろんSSLで）
それ以外のそこまで内容にセキュリティを要さないもの（ユーザーAの自己紹介文を表示、等）はGETを使う

ことをおすすめします。

セキュリティを要するか要さないかの判断は、「その情報がwebサイトで誰でも見れるかどうか」を目安にするのが良いと思われます。

ちなみにGET,POSTは同時に使用できます。

投稿2017/01/17 10:28

退会済みユーザー

総合スコア0

ベストアンサー

WebAPIの場合はGETメソッドでも問題ないでしょうか？

その Web API から返ってくるデータの形式が JSON だとすると、そのサービスを GET で要求するのは潜在的なセキュリティ上のリスクがあるそうです。

また、JSON 配列は JavaScript として有効という JSON サービスの脆弱性に起因する XSS の問題があるそうです。（その対応として、ASP.NET Web サービスの JSON 応答は .NET 3.5 から "d" でラップされるようになりました）

詳しくは以下の記事を見てください

Anatomy of a Subtle JSON Vulnerability
http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx/

JSON Hijacking
http://haacked.com/archive/2009/06/25/json-hijacking.aspx/

いろいろ条件が重ならないとリスクにはならないですが、「君子危うきに近寄らず」ということで、(1) ラップする、(2) POST 要求を使う、という 2 つのことは実施した方がよさそうです。

投稿2017/01/17 10:16

退会済みユーザー

総合スコア0

一般論としては、GETで秘密情報を渡すことは「好ましくない」と言われています。その理由の一つとして、ご指摘のように、アクセスログに秘密情報が平文でのってしまうことがあります。
たとえば、パスワードやトークン、セッションID、クレジットカード情報などは、GETのパラメータ（クエリ文字列）に載せることは避けるべきです。管理者がうっかり、あるいは故意に見てしまう、不正アクセスの際に暗号化やハッシュされない状況で漏洩してしまう、などのリスクが考えられます。

投稿2017/01/17 09:57