“ curl -u用户名：密码http://example.com”是否安全？

是否curl -u username:password http://example.com安全？

如果没有，您能否简要说明别人如何获取您的密码？

这是不安全的，因为cURL 默认为基本身份验证，其中HTTP协议以明文形式发送密码。当您指定username:password字符串时，它将在HTTP标头中转换为BASE64字符串：

GET / HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0
Accept: text/html
Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

能够拦截您的HTTP流量的任何人（您的提供商，与您访问同一无线AP的任何人等等）都将可以通过使用在线BASE64转换器来恢复密码。

通过在发送此标头之前建立加密连接，HTTPS协议可以使事情变得更好，从而防止密码被泄露。但是，仅当要求用户注意确认未知证书，授权安全例外等时，这才适用。

请注意ps -ef，在bash历史记录和终端日志中，同一机器上的其他用户可能可以使用命令自变量来查看例如/ proc文件系统（感谢@Lambert的注释，请注意）。在某些平台上，cURL会尝试隐藏密码，因此例如，ps -ef您很可能会看到空格而不是密码。但是，如在cURL faq上讨论的那样，让cURL直接提示输入密码比将密码作为命令行参数传递更好。

这是不安全的。命令行参数对所有用户可见。

使用--netrc-file参数可以更安全的方式完成此操作。

1. 创建具有600权限的文件

例如：vi / root / my-file

机器example.com

登录USERNAME

密码PASSWORD

保存并关闭文件

2. 使用以下内容通过用户名和密码访问URL。

curl --netrc文件/ root / my-file http://example.com

3. 完成了

使用HTTP方案时这是不安全的。为了使其安全，应使用HTTPS。

要隐藏密码，使其不显示在命令历史记录中，请仅提供用户名。如果命令中未提供，Curl将提示输入密码。

简短的答案是没有...但是...

如果没有服务器端选项，则可以增强安全性。

1. 如果这是本地Intranet，则隔离广播域，并且不要使用WiFi或任何无线电。
2. 正如Shameer所说，使用.netrc文件，将值保留在代码之外。
3. 如果您相信内存是安全的，请使用环境变量。$ PSWD。
4. 如果这是自动化的，请从root的crontab运行。
5. ...在一个容器中。
6. ...从带有加密磁盘的VM中获取。

这些都不比使用HTTP的浏览器安全性低。