一个发现,豆瓣 web 端账号密码明文写在 url 里

虽然但是，这个是登录接口 post-xhr 调用，只不过把参数放在 url 上

另外就算是 get 只要类型是 xhr/fetch ，就不会产生浏览器历史记录

会产生浏览器历史记录的是以前那种 sso 重定向登录系统

大家都说有 HTTPS 所以没问题，其实这是不对的。
据我见过的很多数后端服务（的一些日志中间件），会在日志里面打印 URL ，这样的话密码就出现在日志里面了。
而一般 POST 请求的数据，除非专门打印，是不会出现在日志里面的。

日志的安全级别肯定比用户密码低得多。

不能说完全没问题。只能说大致可以认为是安全的。因为攻击面比较小。
唯一剩下的一种攻击方式就是中间人了。很多可以代理但能看到 https 的工具就是基于这个原理，有些公司的网络监控也差不多这个意思。
颁发一个证书，让你信任。然后你发的他能解，然后代理出去。回来后他发的你也能解。