一分钟理解post和put(安全与幂等角度)

最新推荐文章于 2025-03-25 11:10:36 发布
最新推荐文章于 2025-03-25 11:10:36 发布
阅读量7k 收藏 5
点赞数 3
分类专栏: Java面试基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010651249/article/details/84350061
版权

HTTP方法的安全性和幂等性

可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。

DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DELETE方法,必须记录所有已删除资源的元数据(Metadata),否则,第二次删除后返回的响应码就会类似404 Not Found了。

PUT和POST方法语义中都有修改资源状态的意思,因此都不是安全的。但是PUT方法是幂等的,POST方法不是幂等的,这么设计的理由是:

HTTP协议规定,POST方法修改资源状态时,URL指示的是该资源的父级资源,待修改资源的ID信息在请求体中携带。而PUT方法修改资源状态时,URL直接指示待修改资源。因此,同样是创建资源,重复提交POST请求可能产生两个不同的资源,而重复提交PUT请求只会对其URL中指定的资源起作用,也就是只会创建一个资源。

分布式系统中的BASE ACID、等性、分布式锁、分布式事务异步消息处理
AI天才研究院
04-23 1万+
一、BASE ACID ACID ACID 四项特性分别为: 原子性(A)。所有的系统都受惠于原子性操作。当我们考虑可用性的时候,没有理由去改变分区两侧操作的原子性。而且满足 ACID 定义的、高抽象层次的原子操作,实际上会简化分区恢复。 一致性(C)。ACID 的 C 指的是事务不能破坏任何数据库规则,如键的唯一性。之相比,CAP 的 C 仅指单一副本这个意义上的一致性,因...
解耦,未解耦的区别_时间解耦之旅
最佳 Java 编程
06-20 1061
解耦,未解耦的区别 HTTP中的等性意味着相同的请求可以执行多次,效果仅执行一次一样。 如果用新资源替换某个资源的当前状态,则无论您执行多少次,最终状态都将您仅执行一次相同。 举一个更具体的例子:删除用户是等的,因为无论您通过唯一标识符删除给定用户多少次,最终该用户都会被删除。 另一方面,创建新用户不是等的,因为两次请求该操作将创建两个用户。 用HTTP术语来说是RFC 2616:9...
GET、POSTPUT、DELETE的介绍及其安全等性
voilet_bin的博客
02-06 4600
先介绍一下安全等的概念—     所谓等是指不管进行多少次操作,结果都一样。比如,调用GET方法只是去请求资源,自然每次调用结果都是相同的,就是等的。对于POST请求,两次调用POST请求,可能就会在服务器创建两份资源,所以当然不是等的。     安全指的是是否会给服务器带来副作用,意思就是发送请求会不会改变服务器的状态,就比如说发送GET请求其实只是会获取服务器的资源,而不是去更改...
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
PUT POST 的区别
最新发布
xsh219的博客
03-25 463
🚀。
Spring Security() —— CSRF
eyes++的博客
07-26 4690
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
SpringSecurity之CSRF
ybb_ymm的专栏
04-15 1366
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 2312
SpringSecurity Csrf防护
SpringSecurity之CSRF漏洞保护
Littewood的博客
07-24 1730
SpringSecurity之CSRF漏洞保护
超详细面试准备(10分钟打遍所有初级后端开发面试)
weixin_44540766的博客
02-23 5307
面试知识汇总 如何介绍项目: https://www.sohu.com/a/259724527_775404 自我介绍:https://www.jianshu.com/p/008fc86a1f28 4W字的后端面试知识点总结: https://www.cnblogs.com/aobing/p/12849591.html 后端技术框架: https://www.cnblogs.com/loren-Yang/p/11073536.html 数据结构 Java HashMap原理: https://yikun.g
CSRF防护专家指南:保障用户认证安全的前沿技术
随后,本文详细介绍了基础理论,包括同步令牌双重提交Cookie等防御策略,以及安全令牌的生成、验证、存储传输的技术标准。在实践技术章节中,文章进一步讨论了服务器端客户端的防护实现,
关于边缘计算区块链结合系统研究的综述
weixin_42428319的博客
03-21 5633
文献翻译:关于边缘计算区块链结合系统研究的综述 摘要:区块链作为加密货币的底层技术,受到了广泛的关注。它被广泛应用于智能电网、物联网等领域。然而,区块链存在一个显著的可伸缩性障碍,这限制了它支持频繁事务的服务能力。另一方面,引入边缘计算来扩展要分布在网络边缘的云资源服务,但目前在分散管理安全方面面临挑战。将区块链边缘计算集成到一个系统中,可以实现对网络的可靠访问控制,存储计算分布在边...
SpringSecurity安全框架学习笔记
清茶淡粥的博客
12-31 1118
Spring Security Spring Security简介 Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DIAOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 核心功能:认证授权 Spring Security 认证流程 Spring Security 项目搭建 导入依赖 Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可 <dependency>
SpringSecurity(十)【CSRF 漏洞保护】
Vinjcent
12-25 1703
具体的操作方式就是在每一个 HTTP 请求中,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的字符串,我们称之为 CSRF 令牌。可以发现,当用户在8080正常认证身份之后,假如另外一台服务知道8080服务的转账接口,那么就会根据这个接口去操作用户的信息,这回给我们用户带来数据泄露的问题,因为都是在当前网站的 Cookie 信息识别用户。获取服务端令牌方式如下。说明:模拟场景,用户A给用户B转账,在用户A未注销之前,有人通过用户A已经认证的信息,对其进行转账给用户C的操作。
SpringSecurity中的CSRF解读
-
04-11 606
SpringSecurity中的CSRF解读 从刚开始学习SpringSecurity时,在配置类中一直存在这样一行代码:http.csrfo.disable() 如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 什么是CSRF CSRF (Cross-site request forgery) 跨站请求伪造,也被称为"OneClick Attack” 或者 Sess...
spring security 处理CSRF
singkingcho的专栏
12-18 1082
csrf概念 英文全称叫做: cross-site request forgery,翻译过来叫做跨站请求伪造。spring security默认情况下是开启了csrf保护的。所谓的CSRF一般会在用户做了某个动作之后附加了一些额外动作。 csrf工作机制 往往是利用用户在某个系统中已经登录过,其具有一些服务器操作资源的权限,攻击者利用伪造的链接或其它骗用户完成某个操作,而这个操作会偷偷该用户可操作的系统交互。 一个简单的示例图 如何解决 根本问题在于,我们必须要确定这个行为是不是由本身客户端发出的,而
【SpringSecurity】CSRF、环境配置、授权、认证功能、记住我功能实现
m0_73976305的博客
06-08 1068
SpringSecurity CSRF跨站请求伪造攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义登录界面 授权 基于角色的授权 基于权限的授权 使用注解判断权限 记住我 SecurityContext
Spring Security CSRF
诗人不写诗
09-15 549
Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRFRESTful技术有冲突。 CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。 需要站点受到CSRF的保护,同时可以对外提供的REST服务,就需要开出一个隧道来。 1)如果这个http请求是通过get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没...
SpringSecurity:CSRF攻击
2201_75856701的博客
01-13 548
一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便CSRF密切相关。当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。建好项目后,创建一个简单的HelloController.java,包含一个。项目中模拟一个按钮操作,发起。,模拟一个钓鱼网站。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值