Come spiegato qui i dati sensibili nella parte relativa alle query sull'URL (come un token API segreto) sono principalmente un problema se l'URL è accessibile direttamente nel browser e quindi visibile nella barra degli URL, oltre che memorizzato nella cronologia del browser.
Ma le richieste API di solito vengono eseguite sullo sfondo di un'app o tramite una richiesta AJAX in background e pertanto è molto meno probabile che si verifichi una situazione in cui l'URL di richiesta dell'API viene presentato a un utente. Pertanto, i pericoli dei dati sensibili nell'URL sono trascurabili per un'API.
Si noti inoltre che su HTTPS la richiesta HTTP completa è crittografata, inclusa la parte della query. Solo il nome host ( api.instagram.com
) verrebbe esposto a un MITM come effetto collaterale di SNI.