查询参数通过 SSL 传递，可能包含敏感信息

Question

我被迫处理 IBM AppScan 结果。这个让我头疼。我在以下执行的语句（以及其他类似的语句）上从 AppScan 获得以下标志。

标志： 查询参数通过 SSL 传递，可能包含敏感信息 资源： https://.../bundles/jqueryval?v=(version)

这一切的根源似乎是捆绑和缩小。

我的 RegisterBundle 如下所示：

public static void RegisterBundles(BundleCollection bundles)
{
    bundles.Add(new ScriptBundle("~/bundles/jquery").Include(
                       "~/Scripts/jquery-{version}.js"));
...
}

我的 _Layout.cshtml 是这样称呼它的：

<head>
   <meta charset="utf-8" />
   <meta name="viewport" content="width=device-width, initial-scale=1.0">
   <title>CD Renewal - @ViewBag.Title</title>
   @Styles.Render("~/Content/css")
   @Scripts.Render("~/bundles/jquery")
   @Scripts.Render("~/bundles/jqueryval")
   @Scripts.Render("~/bundles/modernizr")
   @Scripts.Render("~/bundles/bootstrap")
</head>

关于如何使捆绑在正文中作为 post 而不是查询字符串传递版本参数 (v) 的任何想法？

Answer 1

在竭尽全力与 Microsoft 支持人员讨论此问题后，这是我从他们那里收到的简短答复：

"It is a by-design behavior that the query string will get added to the URL as a “caching buster” so that the client doesn’t cache older versions.

Moreover, the query string is ignored completely at the server side and it is not vulnerable to any attacks." - Microsoft Premium Support