为什么要禁止除GET和POST之外的HTTP方法?

已于 2024-04-02 12:51:57 修改
阅读量1.5k 收藏 1
点赞数 2
分类专栏: # 面试 # 计算机网络 文章标签:  为什么要禁止除GET和POST之外的HTTP方法? HTTP http get post delete
于 2019-08-19 16:09:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30757161/article/details/99734016
版权
本文详细介绍了HTTP请求的各种方法,包括GET、POST、HEAD、OPTIONS、PUT、DELETE、TRACE和CONNECT,探讨了GET和POST方法的常见应用,以及其它方法可能带来的不安全性。文章还解释了为何大多数服务器仅支持GET和POST方法,以及禁止使用其它HTTP方法的原因。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、HTTP请求方法有哪些

根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。

HTTP1.0定义了三种请求方法: GET、POST、HEAD

HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNECT

640?wx_fmt=jpeg

二、举例说明不安全的HTTP方法

众所周知,GET、POST是最为常见方法,而且大部分主流网站只支持这两种方法,因为它们已能满足功能需求。其中,GET方法主要用来获取服务器上的资源,而POST方法是用来向服务器特定URL的资源提交数据。而其它方法出于安全考虑被禁用,所以在实际应用中,九成以上的服务器都不会响应其它方法,并抛出404或405错误提示。以下列举几个HTTP方法的不安全性:

1、OPTIONS方法,将会造成服务器信息暴露,如中间件版本、支持的HTTP方法等。

640?wx_fmt=jpeg

2、PUT方法,由于PUT方法自身不带验证机制,利用PUT方法即可快捷简单地入侵服务器,上传Webshell或其他恶意文件,从而获取敏感数据或服务器权限。

3、DELETE方法,利用DELETE方法可以删除服务器上特定的资源文件,造成恶意攻击。

三、禁止除GET和POST之外的HTTP方法的原因

  1. 安全性:禁止除GET和POST之外的HTTP方法可以增加应用程序的安全性。一些HTTP方法(如PUT、DELETE等)具有修改和删除数据的能力,如果不加限制地允许这些方法,可能会导致未授权的修改或删除操作,从而可能产生安全漏洞。

  2. 降低攻击风险:某些恶意用户或攻击者可能会尝试使用非标准的HTTP方法进行攻击,包括发送恶意请求、进行拒绝服务攻击等。通过禁止除GET和POST之外的HTTP方法,可以限制这些潜在攻击的范围。

  3. 符合HTTP规范和语义:根据HTTP协议的规范和语义,不同的HTTP方法具有不同的语义含义。GET方法用于获取资源,POST方法用于提交数据等。其他HTTP方法(如PUT、DELETE等)具有特定的用途,不应被滥用。因此,禁止除GET和POST之外的HTTP方法可以确保应用程序的HTTP交互符合规范和语义。

〖Python接口自动化测试实战篇⑤〗- 接口自动化测试必备基础 - http协议
易编橙 · 终身成长社群,相遇已是上上签!
05-27 4万+
在上一章节我们聊到了 "如果想要做好接口测试,有一些基础知识是必备的",尤其是 "http协议" 的相关知识。所以在这一章节会针对 "http协议的基础"、"http协议的请求方法" 、"http状态码" 来做一个知识普及。...
apache禁用不安全的http法_tomcat下禁止不安全的http方法
weixin_32126033的博客
12-24 534
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GETPOST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对...
tomcat下禁用不安全的http方法
serisboy的专栏
12-22 421
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GETPOST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对...
各中间件禁用不安全的HTTP方法
02-10
各中间件禁用不安全的HTTP方法,安全加固方法学习方法参考。
HTTP协议中,GETPOST还有什么请求?
博客
02-20 3632
GET POST 这两个东西,我们都知道是 HTTP请求方式,也是我们用的最多的请求方式。 一般来说,Web服务器默认的只支持PostGet这两种“只读”的请求方法。 今天在在 Laravel 的资源控制器中发现了 PUT/PATCH DELETE 这么个动作,进行了一些调查,发现原来Http 1.1协议还有8种请求方法HTTP/1.1协议中共定义了八种方法(也叫“动作”)来以不...
八种请求方式GETPOST请求以外以及不常见的请求
成都_杨洋
05-14 4428
我们平常遇到的绝大多数请求都是GETPOST请求,另外还有一些请求方法, 如:GET、HEAD、POST、PUT、DELETE、OPTIONS、CONNECT、TRACE等 GET 请求页面,并返回页面内容 HEAD 类似于GET请求,只不过返回的响应中没有具体的内容,用于获取包头 POST 大多用于提交表单或者上传文件,数据包括在情趣提中 PUT 从客户端向服务器传送的...
springboot 拦截请求,统一化处理post get
笔生花的博客
05-07 3003
适用场景:为了方便后台做统一化处理,方便前后端交互,在拦截器中将post get 统一处理,在control就不需要区分该请求是post 还是get请求,很方便。 @Component public class RequestParamInterceptor implements HandlerInterceptor { private static Logger log ...
不安全的HTTP方法
冰雨蝶皇的博客
07-17 9566
近日,一个上线很久的项目,后台使用curl测试时发现了一个漏洞:不安全的HTTP方法,如下图所示: 一、HTTP方法 根据HTTP标准,HTTP请求可以使用多种方法,其如下所示: HTTP1.0定义了三种请求方法GETPOSTHEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACECONNECT WebDAV (Web-based Dist...
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
01-10
它为 HTTP 1.1 添加了一些扩展(就是在 GETPOST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还...
PHP基础知识5——HTTP协议+GET请求+POST请求
云中自有锦书
08-08 1215
参考链接:https://www.cnblogs.com/zhangmumu/p/9213871.html 协议: 协议,就是事先的一种约定、规则、规范、标准。 常见协议: HTTPHTTPS 超文本传输协议 FTP 文件传输协议 SMTP 简单邮件传输协议 HTTP协议 :HTTP协议即超文本传输协议, 是一个 [浏览器端] [服务器端] 请求响应的标...
如何禁用不必要的http方法?如何禁用webdav?
06-01
上面的配置将禁止POST之外的所有HTTP方法。可以根据需要添加其他HTTP方法,例如: ``` <LimitExcept method="POST,GET,HEAD"> ``` 这将只允许POSTGETHEAD方法。 2. 禁用WebDAV WebDAV是一种允许通过...
Qt网络编程案例精讲:GETPOST请求的实战应用问题解决
本文系统地探讨了Qt网络编程中的GETPOST请求实现、优化与安全实践。通过分析GET请求的编码、参数传递、缓存处理以及安全风险,我们提供了一系列解决策略最佳实践。进一步地,文章深入研究了POST请求的数据格式、...
如何禁用不需要的HTTP方法
weixin_30736301的博客
06-06 519
禁用不需要的http方法,一般禁用delete,put,默认情况tomcat禁止delete,put,访问返回403-forbiden,此处在web.xml的<web-app>中添加如下禁用配置,要让web.xml配置生效需要重启tomcat<security-constraint><web-resource-collection><url-p...
Spring mvc (三) [继承SimpleFormController配合formbean区别getpost请求]
zhang6622056的专栏
05-31 4267
通过继承SimpleFormController来重写onsubmitreferenceData方法 这里有两个方法。可以限制getpost请求 我们的url是http://localhost:8080/springmvc/simpform.do 顺序则为: http://localhost:8080/springmvc/simpform.do  get方法 (默认传递回一个vi
Springboot解决不安全的请求
最新发布
01-05 1018
禁止使用GETPOST以外的HTTP方法,如PUT、DELETE、TRACE等。修改 Springboot 内置 Tomcat 的配置。项目启动可以看到 其他方法已被封禁。
禁用 OPTIONS 请求
qq_42033668的博客
07-17 1735
渗透测试结果为 不安全的HTTP方法 OPTIONS。spring项目可通过设置tomcat 或者 nginx 禁止
关于HTTP的8种请求方式简介
x976039745的博客
07-05 6227
有次面试时被问到HTTPGetPost还有什么请求方式吗?了知道一个Head,真的是一脸懵逼,哎。直接GG。接下来介绍下这8种请求方式:1.GET:向特定资源发送请求,查询数据2.POST:向指定的资源,提交数据进行处理请求,有可能创建或修改已有数据3.HEAD:Get请求相一致,只不过不会返回响应体,这一方法可以再不必传输整个响应内容的情况下,就可以获取包含在响应小消息头中的元信息。(...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

进朱者赤

多多支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值