为什么要禁止除GET和POST之外的HTTP方法

于 2023-12-13 10:11:40 发布
阅读量823 收藏 8
点赞数 10
分类专栏: 学习笔记 文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53098280/article/details/134964786
版权

一, HTTP请求有哪些在这里插入图片描述
GET和POST是最为常见方法,而且大部分主流网站只支持这两种方法,因为它们已经可以满足功能需求。

  • GET获取服务器资源
  • POST用来像服务器指定的URL的资源提交数据。
  • 其余方法一般服务器不会响应,并抛出404或405.

二, 不安全的HTTP方法

  1. OPTION方法:允许客户端查看服务器的性能 ==》造成服务器信息暴漏.(中间件版本,支持的HTTP方法)
  2. PUT:从客户端向服务器传送的数据取代指定的文档的内容。==》由于PUT方法不带验证机制,利用PUT方法可以快捷简单入侵服务器,上传Webshell或者其他恶意文件来获取敏感数据或服务器权限。
  3. DELETE方法:请求服务器删除指定的页面。==》利用DELETE方法可以删除服务器上特定的资源文件,造成恶意攻击。
Uarebaby.c
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于禁用不必要的 HTTP 方法以及隐藏403错误暴露的版本信息
weixin_34291004的博客
09-29 1356
2019独角兽企业重金招聘Python工程师标准>>> ...
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
01-10
它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还...
各中间件禁用不安全的HTTP方法
02-10
各中间件禁用不安全的HTTP方法,安全加固方法学习方法参考。
如何禁用不需要的HTTP方法
weixin_30736301的博客
06-06 471
禁用不需要的http方法,一般禁用delete,put,默认情况tomcat禁止delete,put,访问返回403-forbiden,此处在web.xml的<web-app>中添加如下禁用配置,要让web.xml配置生效需要重启tomcat<security-constraint><web-resource-collection><url-p...
为什么要禁止除GET和POST之外HTTP方法
weixin_44772380的博客
02-01 538
HTTP请求方法有哪些 众所周知,GET、POST是最为常见方法,而且大部分主流网站只支持这两种方法,因为它们已能满足功能需求。其中,GET方法主要用来获取服务器上的资源,而POST方法是用来向服务器特定URL的资源提交数据。而其它方法出于安全考虑被禁用,所以在实际应用中,九成以上的服务器都不会响应其它方法,并抛出404或405错误提示。以下列举几个HTTP方法的不安全性: 1、OPTIONS方法,将会造成服务器信息暴露,如中间件版本、支持的HTTP方法等。 2、PUT方法,由于PUT方法自身不带验证机制
不安全的HTTP方法
最新发布
hcufo的博客
09-04 1232
web渗透的小知识点
不安全的http方法、CSRF等漏洞修复问题
01-07
* 在 web.xml 中关闭除了 GET、POST 以外的方法。 例如,我们可以在 web.xml 中添加以下配置: ```xml <web-resource-name>securedapp <url-pattern>/* <http-method>DELETE</http-method> ...
HTTP1.1HelpFile-English
02-25
7. **方法的扩展**:除了GET和POST之外HTTP1.1还定义了PUT、DELETE、HEAD、OPTIONS等其他请求方法,以支持更多类型的操作。 **Connectme.txt可能涉及的内容** "Connectme.txt"可能是一个与HTTP连接有关的文本...
http 状态代码大全
05-11
- **303 See Other**:客户端应使用GET方法访问另一个URI来获取请求的响应。 - **304 Not Modified**:如果请求包含一个有效的缓存,并且该缓存未过期,则服务器将返回此状态码,表明资源未更改,客户端可以继续使用...
http错误大全.建网站时参考参考
10-26
- 描述:请求的方法(如 GET、POST)不被允许。 - 解决方法使用服务器允许的方法重新发起请求。 6. **HTTP 406 Not Acceptable** - 描述:客户端无法接受服务器返回的数据类型。 - 解决方法:确认客户端可以...
HTTP的危险方法(不安全的HTTP方法
weixin_45116657的博客
11-01 9468
友情链接: Web安全|为什么要禁止除GET和POST之外HTTP方法? 不安全的HTTP方法 我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外HTTP还有一些其他的请求方法。 WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GE...
tomcat禁用PUT,DELETE等一些不必要的HTTP方法
热门推荐
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONS等HTTP请求方法,降低可攻击性。 解决办法 在tomcat的web.xml中设置一些参数即可: 可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
windows iis 禁用除了GET和POST之外的请求方法
weixin_34138377的博客
12-15 2237
禁用除了GET和POST之外的请求方法通过HTTP谓词禁用除了除了GET和POST之外http请求、HTTP 1.1 共8种请求方法分别是1 GET 请求指定的页面信息,并返回实体主体。2 HEAD 类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头3 POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能...
除get和post还有什么
09-02
除了GET和POST之外,还有一些其他常用的HTTP请求方法,例如: 1. PUT:用于向服务器上传或替换资源。 2. DELETE:用于从服务器删除资源。 3. HEAD:类似于GET请求,但只返回响应头部,不返回响应体,常用于获取资源的元数据。 4. PATCH:用于对资源进行部分更新。 5. OPTIONS:用于获取服务器支持的请求方法和资源的通信选项。 6. TRACE:用于在链路上回显请求,用于测试或诊断。 7. CONNECT:用于与代理服务器建立隧道连接。 这些请求方法可以根据不同的需求和场景进行选择和使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值