HTTP请求方法的安全性

最新推荐文章于 2024-08-21 21:51:33 发布
最新推荐文章于 2024-08-21 21:51:33 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: HTTP 文章标签: HTTP 规范
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/gybshen/article/details/123945099
版权

首先,本文所说的HTTP方法的安全性是RFC 7231规范中定义的一种方法公共属性,它并不是说能够防止外部的攻击,而是一种语义。

什么是HTTP方法的安全性?

HTTP方法的安全性是HTTP方法的一种属性,并不代表“安全”的方法就不会遭受外部的攻击,这种“安全”针对的是服务器上的资源。

一般的,请发方法对服务器上的资源是只读的,我们就认为这种方法就是安全的

哪些方法是安全的

RFC7231规范中定义了HTTP协议支持的8个标准方法,分别为GET,HEAD,POST,OPTIONS,PUT,DELETE,CONNECT,TRACE。

注意还有一个常见的方法PATCH,此方法不在RFC7231中,是RFC5798中的。

其中,GET,HEAD,OPTIONS和TRACE是安全的方法。
为什么这5种方法是安全的,因为从语义规范上将,它们只从服务器上获取资源或查询一些状态,它们是只读的
例如GET,一般情况下只从服务器中获取资源,是一个“只读”方法。

这些被定义为安全的方法一定是安全的吗

再次强调一下,HTTP协议是一种协议,协议本质是一种约定,那么既然是约定,我们也可以不遵守约定,如果我们不遵守约定,谁也不能怎么滴。尽管GET,HEAD,OPTIONS和TRACE被定义为安全方法,我们仍然能够使用它们删除服务器上的资源,只要我们支持这样做。

但是,协议也是一种约束,我们还是有必要遵守的。按规矩办事永远没错。

安全性与幂等性

安全的方法一定是具有幂等性的。

Cloud-Future
关注
专栏目录
保护HTTP安全
zqjflash的专栏
11-01 1924
security-http1、保护HTTP安全 需要提供下列功能的HTTP安全技术:1、服务器认证(客户端感知是与可信任的服务端通信)2、客户端认证(服务端感知是与可新人的客户端通信)3、完整性(客户端和服务器的数据不可被篡改)4、加密(客户端和服务端通信不被窃取)5、效率(运行效率快的算法,支持低端客户端和服务端使用)6、普适性(支持所有客户端和服务器通信协议)7、适应性(能够支持目前最知名的安
HTTP协议漫谈 - HTTP协议请求方法
ccpat的专栏
03-19 4995
前言 在上一篇文章《HTTP协议漫谈 - HTTP协议历史和报文结构》中介绍了HTTP协议的历史和版本变化,以及HTTP协议报文的总体结构。 按照HTTP/1.1 RFC文档中的定义,HTTP报文包括起始行,头域和消息体三个部分。其中起始行又分为请求行和状态行,请求行是HTTP请求中的起始行,它又包含了三个部分:请求方法,请求URI和HTTP协议版本。本文就来介绍HTTP请求中的请求方法。 ...
如何保障HTTP请求安全性
swadian2008的博客
02-10 2401
请求体的内容:请求体中的内容由具体的请求数据构成,可以是表单数据、JSON数据、XML数据、二进制数据等。对请求体进行安全检测:可以采用一定的安全检测技术,如WAF(Web应用程序防火墙)等,对请求体进行实时监控和检测,及时发现和防范安全威胁。对请求体进行访问控制:可以采用一定的访问控制策略,对请求体进行权限控制和鉴别,只允许授权用户访问请求体数据,从而保障数据的安全性。:在使用HTTP协议时,可以对请求体进行加密,采用对称加密或非对称加密等加密方式,确保请求体数据的机密性和完整性。
【网络】HTTPS——HTTP安全版本
最新发布
2301_80224556的博客
08-21 5546
加密和解密首先需要简单了解一下 加密与解密 的概念加密:把明文经过一系列变换,形成密文解密:把密文经过一系列变换,还原成明文明文就是我们能看懂的信息,密文就是我们看不懂的东西。比如这篇博客现在就是以明文的形式显示的,但如果我将其变为火星文,所有人都看不懂,那它就变成密文了在加密与解密的过程中需要一个或者多个辅助数据,我们将其称为「密钥」加密是上锁,解密就是开锁,无论是上锁还是解锁,都需要钥匙,也就是「密钥」
http安全
qq_43390721的博客
06-10 1543
csrf 攻击 cross-site request forgery 跨站请求伪造 1.注册网址登录过 2.网址接口存在漏洞 csrf 防御 1.Token验证 自动携带token 2.Referer验证 页面来源判断 3.隐藏令牌 放在http请求头中 不会放在链接上 xss 攻击 cross-site scripting ...
启用了不安全的“OPTIONS”HTTP方法 - OPTIONS *
akaiyijian001的博客
05-04 1850
方法,该方法被认为是危险的,部分漏扫工具会认为其用了WebDAV。通过源码debug,tomcat会对。通过构造请求进行源码debug。请求时,响应报文请求头。进行特殊处理,该实现在。
http 请求安全
weixin_33968104的博客
04-06 139
在info.plist中加入 <key>NSAppTransportSecurity</key><dict><key>NSAllowsArbitraryLoads</key><true/></dict> 在info直接设置 转载于:https://www.cnblogs.com/zha...
02-HTTP- http请求方法和常见的 get、post
记录java学习日常~
06-03 1520
GET GET 方法用于获取指定资源的信息,并将结果以响应实体返回。GET 请求在不会改变资源状态情况下被认为是幂等的,即调用相同的 URL 多次得到的结果不变。POST POST 方法用于向指定资源提交实体数据,如表单数据、JSON 等。该方法会更改服务器上的资源状态或副作用。POST 请求不具备幂等性,因为调用相同的 URL 进行多次 POST 请求会多次修改服务端资源状态。PUT PUT 方法用于向服务器上传一个表示某个与URI关联的对象或更新已有的对象。
Http请求方法的区别
u011790603的博客
06-17 2695
一、HttpRequest 请求方法 根据HTTP标准,HTTP请求可以使用多种请求方法HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法HTTP1.1新增了五种请求方法OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 GET 请求指定的页面信息,并返回实体主体。 HEAD 类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头 POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求
C++实现HTTP请求
08-21
在实际应用中,为了提高代码的可复用性和易维护性,往往还会引入线程安全、异步处理、超时控制、重试机制等设计。例如,可以使用多线程或异步I/O来处理并发请求,提高程序性能。 总之,C++实现HTTP请求是一个涉及...
java中main方法发送httpPost请求
10-29
这里我们将深入探讨如何在Java的main方法中实现这个功能,以及相关的HTTP请求和响应处理。 首先,Java中发送HTTP POST请求通常会用到`HttpURLConnection`类或者第三方库如Apache HttpClient或OkHttp。下面我们将...
安全http方法
热门推荐
秋水的博客
09-06 1万+
本章节所需工具burp和curl curl下载地址:https://curl.haxx.se/download.html 漏洞简介 什么是http方法? 根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。 HTTP1.0定义了三种请求方法: GET、POST、HEAD HTTP1.1新增了五种请求方法OPTIONS、PUT、DELETE、TRACE 、CONNEC...
HTTP中Get、Post、Delete、Put、Patch、Options、Trace、Head的区别
m0_52009348的博客
07-03 1780
HTTP中Get、Post、Delete、Put、Patch、Options、Trace、Head的区别
lsof |grep delete卡住_【1029】put/delete不要用,不安全
weixin_40006133的博客
11-07 950
一直想写一下这个话题,但是每次都忘记没有时间写;在最开始问题的出现,是以前的一个客户说,你们为什么要用 put/delete 方法?这很不安全;我随便上传个文件都能上传,这样服务器中毒风险很高。从运维安全方面来说,的确,能随便上传个有毒脚本上去不就被执行了吗?那么索性就禁用 put/delete 方法。这个观点先不讨论,先看规范。在 RFC1945 /1996 年 http 1.0 中定...
jetty禁用http put和delete等方法的方式
shuipinglp的专栏
10-30 2124
1. 基于xml的配置方式 <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>...
restful:put操作资源可能存在的安全问题
w3741332的博客
11-07 4891
REST定义:REST(Representational State Transfer ),有中文翻译为"具象状态传输"(也有:"代表性状态传输")。是由 Roy Thomas Fielding博士 在2000年就读加州大学欧文分校期间在学术论文中提出的一个术语。他首次系统全面地阐述了REST的架构风格和设计思想。这篇论文是Web发展史上一篇非常重要的技术文献,他也为WEB架构的设计与评判奠定了理
面试官:你说 HashMap 线程不安全,它为啥不安全呢?
石杉的架构笔记
11-26 873
扫描下方海报试读本文来源:http://cnblogs.com/developer_chan/p/10450908.html我们都知道HashMap是线程不安全的,在...
HTTP协议概述 | 简析HTTP请求流程 | HTTP8种请求方法
青春木鱼的博客
04-12 5031
HTTP是超文本传输协议,其定义了客户端与服务器端之间文本传输的规范HTTP默认使用80端口,这个端口指的是服务端的端口,而客户端使用的端口是动态分配的。当我们没有指定端口访问时,浏览器会默认帮我们添加80端口。我们也可以自己指定访问端口如:http://www.ip138.com:80。 需要注意的是,现在大多数访问都使用了HTTPS协议,而HTTPS的默认端口为443,如果使用80端口访问HTTPS协议的服务器可能会被拒绝。
禁用不安全http方法
qq_31225293的博客
02-27 1万+
上线很久的项目,后面用curl测出了一个漏洞,不安全http方法 在网上搜索了很多都是一种解决办法,但是我这边都不行,现在我来说说我的解决办法首先解决OPTIONS的:修改自己应用的web.xml,添加如下配置:&lt;security-constraint&gt;         &lt;web-resource-collection&gt;              &lt;url-patt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值