“收集 PII 的页面(包含使用 GET 的表单)”报告

此报告提供有关 Web 站点上特定页面的信息,这些页面包含使用 GET 提交方法来收集访问者信息的表单。对于那些包含需要保护的信息的页面,请将提交方法更改为使用 POST 方法。

它为什么重要

使用 GET 方法提交表单时,可能会因疏忽将数据传输到第三方 Web 站点并违反该 Web 站点的隐私策略。实质上,数据是通过 URL 从 Web 站点访问者的计算机传递到服务器。输入到表单中的项以纯文本形式包含在此 URL 内,从而将信息暴露给任何对 URL 具有访问权的人员。当使用 GET 方法时,这些 URL(以及它们所包含的个人信息)保留在浏览器历史记录和服务器日志中。在许多情况下,会在无意之中共享此信息。但是,这仍会导致严重的隐私违规,并可能导致相关品牌受损和代价高昂的诉讼。当表单所在的 Web 站点区域包含来自第三方的元素(例如广告条幅或 Web 信标)时,风险会特别大。

如果使用 POST 方法对 Web 页面进行了编程,那么只会将已提交的信息发送给传递页面内容的服务器。使用 GET 方法提交数据的表单没有通过安全方式提交数据。如果必须使用 GET 方法,请仔细复审任何提交表单的 Web 页面,并且确保该页面上图像和链接的来路 URL 不会在无意中传递个人信息。

如何触发 GET 方法

用以下语法扫描 HTML 源代码以搜索表单:method="get"。如果没有对应表单的方法,那么扫描会假设它为 GET 方法,因为方法属性只会是两个值中的一个:GET 或 POST。缺省为 GET,因此如果文档作者在表单标记中不包含方法属性,那么会假设“method=get”。

针对使用 POST/GET 方法的修复和最佳做法

  • 请尽可能使用 POST 表单提交方法。
  • 如果您必须使用 GET 方法,请确保包含数据输入表单页面的 Web 页面 URL 不会捕获由用户提交的个人信息。
  • 对各表单使用有意义的名称。
  • 在包含表单的页面上使用 HTTPS 协议。