Rapport Pages collectant des informations personnelles avec des formulaires utilisant GET

Ce rapport fournit des informations sur les pages de votre site Web qui contiennent des formulaires utilisant la méthode de soumission GET pour collecter des informations sur les visiteurs. Pour les pages contenant des informations à protéger, il convient de remplacer la méthode de soumission par la méthode POST.

Pourquoi est-ce important

Lorsqu'un formulaire est soumis via la méthode GET, les données peuvent être transmises par accident à un site Web tiers et enfreindre la charte de confidentialité du site Web. Pour résumer, les données sont transmises de l'ordinateur du visiteur sur le serveur via une adresse URL. Les éléments saisis dans le formulaire sont contenus dans cette adresse URL en texte clair, ce qui expose les informations à la vue de toute personne accédant à l'adresse URL. Lorsque vous utilisez la méthode GET, ces adresses URL (et les informations personnelles qu'elles contiennent) restent dans l'historique du navigateur et dans le journal du serveur. Dans de nombreux cas, le partage de ces informations est accidentel. Cependant, ceci peut aboutir à de sérieuses violations de la confidentialité, à des dommages pour la marque, ainsi qu'à des litiges coûteux. Le risque est particulièrement élevé lorsque la zone du site Web où se situe le formulaire contient des éléments tiers (par exemple, une bannière publicitaire ou un pixel espion).

Lorsqu'une page Web est programmée à l'aide de la méthode POST, seules les informations soumises sont envoyées au serveur fournissant le contenu de la page. Un formulaire recourant à la méthode GET ne soumet pas les données de manière sécurisée. Si vous devez utiliser la méthode GET, vérifiez soigneusement toutes les pages Web où des formulaires sont soumis et assurez-vous que les adresses URL référençant des images et des liens ne transmettent pas par erreur des informations personnelles.

Déclenchement de la méthode GET

Le code source HTML est examiné à la recherche de formulaires avec la syntaxe suivante : method="get". Si aucune méthode n'est présente sur un formulaire, l'examen suppose qu'il s'agit d'une méthode GET car l'attribut method n'accepte que deux valeurs : GET ou POST. GET étant la valeur par défaut, si l'auteur du document n'a pas indiqué de méthode dans la balise du formulaire, c'est "method=get" qui est supposé.

Résolution et meilleures pratiques pour l'utilisation des méthodes POST/GET

  • Autant que possible, utilisez la méthode POST pour la soumission de formulaires.
  • Si vous devez utiliser la méthode GET, assurez-vous que les adresses URL des pages Web qui contiennent des formulaires de collecte de données ne capturent pas d'informations personnelles soumises par l'utilisateur.
  • Utilisez un nom significatif pour chaque formulaire.
  • Utilisez le protocole HTTPS sur les pages avec des formulaires.