「收集 PII 而含有使用 GET 之表單的頁面」報告

這份報告提供您網站上,其表單利用 GET 提交方法來收集訪客資訊之頁面的相關資訊。對於含有必須保護之資訊的頁面,請將提交方法改成 POST 方法。

重要性

當利用 GET 方法來提交表單時,資料有可能意外傳到第三方網站,而違反網站的隱私權原則。實質上,資料是在網站訪客的電腦上,從某個 URL 傳給伺服器。在表單中輸入的項目是以純文字包含在這個 URL 中,任何能夠存取這個 URL 的人都能夠見到這項資訊。當使用 GET 方法時,這些 URL(以及它們所包含的個人資訊)會保留在瀏覽器歷程和伺服器日誌中。在許多情況下,分享這項資訊都是無意中造成的。不過,這仍可能嚴重侵害隱私權、連帶損害品牌,以及高額的訴訟費。當表單所在網站區域含有第三方的元素(如廣告橫幅或 Web 引標)時,風險特別高。

當利用 POST 方法來設計網頁程式時,只會將提交的資訊傳給交付頁面內容的伺服器。利用 GET 方法來提交資料的表單,提交資料的方式並不安全。如果您必須使用 GET 方法,請仔細檢閱任何提交表單的網頁,確定頁面上各影像及鏈結的參照來源 URL 不會在無意中傳輸個人資訊。

如何觸發 GET 方法

表單的 HTML 原始碼掃描語法如下:method="get"。如果表單上沒有任何方法,掃描會假設 GET 方法,因為 method 屬性只有兩個值:GET 或 POST。GET 是預設值,因此,如果文件作者未在 form 標籤中併入 method 屬性,便會採用 "method=get"。

使用 POST/GET 方法的補救和最佳實務

  • 儘可能利用 POST 方法來提交表單。
  • 如果必須使用 GET 方法,請確定含有資料輸入表單頁面的網頁,其 URL 並不會擷取使用者所提交的個人資訊。
  • 每份表單的名稱都是有意義的。
  • 含有表單的頁面使用 HTTPS 通訊協定。