为什么要禁止除GET和POST之外的HTTP方法?

最新推荐文章于 2023-09-04 04:20:56 发布
最新推荐文章于 2023-09-04 04:20:56 发布
阅读量513 收藏 1
点赞数 1
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44772380/article/details/113520534
版权

HTTP请求方法有哪些

在这里插入图片描述

众所周知,GET、POST是最为常见方法,而且大部分主流网站只支持这两种方法,因为它们已能满足功能需求。其中,GET方法主要用来获取服务器上的资源,而POST方法是用来向服务器特定URL的资源提交数据。而其它方法出于安全考虑被禁用,所以在实际应用中,九成以上的服务器都不会响应其它方法,并抛出404或405错误提示。以下列举几个HTTP方法的不安全性:
1、OPTIONS方法,将会造成服务器信息暴露,如中间件版本、支持的HTTP方法等。
2、PUT方法,由于PUT方法自身不带验证机制,利用PUT方法即可快捷简单地入侵服务器,上传Webshell或其他恶意文件,从而获取敏感数据或服务器权限。
3、DELETE方法,利用DELETE方法可以删除服务器上特定的资源文件,造成恶意攻击。

nougat3321
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
01-10
WebDAV WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。 现在主流的WEB服务器
03Web服务器基础-19. HTTP协议请求部分详解
学无止境
09-10 433
03Web服务器基础-19. HTTP协议请求部分详解
HTTP】如何避免OPTIONS请求?
热门推荐
smart_dream
03-01 3万+
场景:在调用后端接口的时候会出现两次请求:OPTIONS请求和GET请求。OPTIONS请求耗费了一定的时间,需减少OPTIONS请求。 查找原因是浏览器对简单跨域请求和复杂跨域请求的处理区别。 XMLHttpRequest会遵守同源策略(same-origin policy). 也即脚本只能访问相同协议/相同主机名/相同端口的资源, 如果要突破这个限制, 那就是所谓的跨域, 此时需要遵守...
Fiddler拦截篡改get和post请求及返回值
herwaygo的博客
06-28 4384
有时为了能更好的完成测试工作,提高软件质量,单一的功能测试方法已经不能满足需求,我们需要根据实际情况加入一些合适的测试手段。 写这篇文的原因是,在实际的测试工作中,所在公司APP添加了新研发的商品及其支付功能。 做测试的可能都有跟弦,跟Money有关的项目都要小心。 下面我尽可能详细的描述下我用fiddler对APP的get和post请求进行拦截和篡改的步骤: 以下省去下载安装fiddler和使用fiddler抓APP包的步骤,网上都有方法而且非常详细。 一、两种拦截方法: 1、 ...
不安全的HTTP方法
hcufo的博客
09-04 928
web渗透的小知识点
HTTP的危险方法(不安全的HTTP方法
weixin_45116657的博客
11-01 9081
友情链接: Web安全|为什么要禁止除GET和POST之外HTTP方法? 不安全的HTTP方法 我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外HTTP还有一些其他的请求方法。 WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GE...
http的PUT、DELETE不安全?
u014644574的博客
12-19 8951
本文主要记录我们的讨论过程及结论,具体测试代码就不贴了。 一、背景 最近研发让我开一下服务器的put、delete方法,被我以不安全的http方法给拒绝了。 研发表示我很无理,put怎么就是不安全的了,在他看来,put和post只是语义上的不同。如果put是不安全的方法,那么post也是不安全的方法了。 网上的说法也是分为两派,一派说这些都是不安全的方法,要关掉;另一派说它们只是语义上的区别,不存在安不安全。 二、一探究竟 经过我和研发各自编写测试用例来论证后,我明白了为什么会有这样的分歧:我是
python通过get,post方式发送http请求和接收http响应的方法
01-20
本文实例讲述了python通过get,post方式发送http请求和接收http响应的方法。分享给大家供大家参考。具体如下: 测试用CGI,名字为test.py,放在apache的cgi-bin目录下: #!/usr/bin/python import cgi def main(): ...
JAVA发送http get/post请求,调用http接口、方法详解
08-26
主要介绍了Java发送http get/post请求调用接口/方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
nodejs使用http模块发送get与post请求的方法示例
12-23
本文实例讲述了nodejs使用http模块发送get与post请求的方法。分享给大家供大家参考,具体如下: GET请求 var http = require('http'); var querystring = require('querystring'); var data = { a: 123, time: ...
Go语言中利用http发起Get和Post请求的方法示例
09-21
主要给大家介绍了关于Go语言中利用http发起Get和Post请求的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
HttpTest.rar_GET和POST请求_HTTPTest_get post
07-15
本程序包含一个http协议的工具类,支持get和post请求两种方式,返回值类型为字符串类型,方便开发。
60道关于Redis的常见面试题.pdf
04-18
- 1. 什么是 Redis?它的主要特点是什么? - 2. Redis 支持哪些数据结构?请详细描述每种数据结构的用途和特点。 - 3. 什么是缓存穿透?在使用 Redis 时,如何防止缓存穿透? - 4. 介绍 Redis 的持久化机制以及对比它们之间的区别。 - 5. 如何实现 Redis 的分布式锁?你了解的分布式锁有哪些实现方式? - 6. Redis 的数据淘汰策略有哪些?分别是如何工作的? - 7. 什么是 Redis 事务?它是如何实现的?与传统数据库事务有何不同? - 8. 如何设置 Redis 的主从复制?主从复制有什么优势和限制? - 9. Redis 支持的数据结构中,有哪些可以实现计数功能?请详细说明其使用场景。 - 10. 什么是 Redis Sentinel?它的作用是什么?如何配置和使用 Sentinel?
2024年社交媒体广告行业分析报告.pptx
04-18
2024年社交媒体广告行业分析报告.pptx
网站界面设计mortal0418代码
04-18
网站界面设计mortal0418代码
2024年休闲椅行业分析报告.pptx
04-18
2024年休闲椅行业分析报告.pptx
anaconda3 -windows安装的
04-18
anaconda3 -windows安装的
华为客户关系管理策略解析glz.pptx
最新发布
04-18
华为客户关系管理策略解析glz.pptx
http协议支持post和get方法吗?
06-11
是的,HTTP协议支持GET和POST方法。 GET方法用于从服务器获取资源,通常用于获取页面、图片等静态资源。 POST方法用于向服务器提交数据,通常用于提交表单数据、上传文件等。 GET方法将数据放在URL的查询字符串中,而POST方法将数据放在请求正文中,因此POST方法更加安全,适用于提交敏感数据。但是,POST方法也会增加服务器的负担,因为它需要在服务器上处理请求正文。 需要注意的是,根据HTTP协议的规定,GET方法应该只用于获取资源,而不应该用于修改服务器上的数据。因此,如果使用GET方法来修改数据,可能会导致安全风险和数据完整性问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值