关于 3-4 提到的 PUT 和 DELETE 方法的安全性问题
来源:3-4 HTTP请求方法剖析
斯特的猫
2019-12-27
老师你好!
3-4 视频中提到 PUT 和 DELETE 缺少验证机制,不安全,能否解释一下缺少的是什么验证机制,导致了不安全?
我在工作中经常用到 PUT, PATCH 和 DELETE。而且在服务端也会做用户身份的验证,不知道这个不安全是来自哪里?
谢谢解答。
写回答
1回答
-
实际上这是底层决定的,也是历史因素。
由于服务器 允许匿名访问者直接通过 PUT 往服务器上上传文件,曾经导致了很多严重的漏洞
delete也是一样
实际上现在已经安全多了,服务器和中间件会做更多校验,但是从编程角度对我们而言其实似乎是没有感知的,那么更少用put和delete的另外一方面也是更现实的立场就是
很多云服务的防火墙会过滤拦截delete put方法等。
112019-12-27
相似问题