Ho implementato reCaptcha in forma di login per rallentare il potenziale attacco di forza bruta. Tuttavia, l'applicazione invia recaptchaPublicKey & RecaptchaToken nella richiesta di post con le credenziali di accesso. Porta a una minaccia alla sicurezza? Secondo la mia comprensione, se l'applicazione riflette segreti (come i token) nei corpi di risposta HTTP, questo sarà classificato come potenziale attacco BREACH (Browser Ricognizione e Espansione tramite Adaptive Compression of Hypertext).
È sicuro inviare RecaptchaToken in post richiesta?