🔍 輸入要檢查的 URL
💡 範例:https://example.com/api?access_token=abc123&user_email=test@example.com
📚 安全知識
❌ 為什麼不該把 Token 放在 URL?
- • 會被記錄在瀏覽器歷史中
- • 會被記錄在伺服器日誌中
- • 會透過 Referer header 洩漏給第三方網站
- • 分享連結 = 分享帳號控制權
- • 無法在不改變 URL 的情況下撤銷
✅ 正確的做法
- • 使用
Authorization: Bearer <token>header - • Token 要有過期時間(不超過 1 小時)
- • 更改密碼後讓所有 token 失效
- • Email 驗證用一次性、有時限的 verification token
- • 使用 HTTPS 加密傳輸
🔒 HTTPS 的重要性
- • HTTP 不加密,中間人可以看到所有資料
- • 公共 WiFi 特別危險
- • 現代瀏覽器會警告 HTTP 網站
- • Let's Encrypt 提供免費 SSL 憑證
📊 真實案例
2026 年初,有用戶在 Reddit 分享:母親使用的生日卡片網站, 在 Safari 分享功能時會把完整的 access token 放在 URL 中。 任何點擊連結的人都能完全控制她的帳號,而且 token 3 小時後仍有效。這種「精美外觀 + 脆弱安全」的網站比你想像的更常見!