被客户告知 HTTP 的 PUT 请求不安全，甩锅给我们要求整改

@lesismal #90 我说的云厂商的 API 就是指 Open API ，包括对象存储的 PUT Object

要说防火墙不一样，云厂商自己不也有防火墙吗？要说软件不是 Nginx ，大多厂商 CDN 和 WAF 用的就是 Nginx 。怎么我们用 Nginx + PUT 就安全，你们用 Nginx + PUT 就不安全了？这只能说明你们运维菜，不足以说明 PUT 方法不安全

考虑其他老软件所以不支持 PUT ，这又关 PUT 安不安全什么事呢？软件的漏洞怪到 HTTP 方法上面，菜，拿了私钥的防火墙连分流策略都不懂得做，只会按总开关，菜上加菜

我前面的评论是解释那篇文章的错误在哪儿，无意跟你辩 HTTP PUT 会不会导致入侵，在我看来这不是一个值得讨论的问题。不必再给我大段回复，互相省点时间

@eason1874
照你们这些以某些厂的场景和做法就代表全天下场景都应如此的聊法，确实别聊了。建议你们努力合并全天下技术厂、直接一统江湖得了。

@lesismal 你就是一个守旧的老古董罢了, 实际上现在 RestFul 非常流行, 新项目基本都用这种方式, nginx 都是充当一个反向或静态服务器, 根本用不着 webdav, 说使用 nginx 需要禁用 put 完全是无稽之谈, 把 CSDN 随便转来的一遍文章当成真理真是搞笑.

@lesismal 你这话也可以用给你啊。要不你去把 HTTP 标准改了，只留 GET 和 POST 。

改呗,make them happy,恶心自己,成全别人。

一个东西如果要垮部门改动，这个改动得找个有点分量的人来牵头，后续可能出现的问题需要这个有分量人协调。

如果人微言轻，勉强让人改了,下次因为这个改动 甚至新出现的不明原因的 bug ，都可能甩给你。现实世界不是只有 0 和 1 ，不能都围着你转。

也别争论什么技术细节了，就一个历史原因造成的安全问题，一个跨部门（你这是跨公司）协商问题。

@Bromine0x23
我经常送给我自己，你有送给过自己吗？另外，你哪里看到我说要改标准了？可理解了我前面楼层的回复意思？没理解的话麻烦就别随便 at 我了

@cweijan
> 实际上现在 RestFul 非常流行
流行跟主流不是一码事，劣币驱逐良币的时候多着呢，流行也未必就代表好，如果连这个都理解不了，那你喜欢就好

> 你就是一个守旧的老古董罢了
老古董算是半个吧，但至少现在的时代还是老古董为主在占据着多数项目的技术话语权

@lesismal 在你眼里除了 CURD ，别的开发就不会有 PUT DELETE ？那么你说我开发部门要开发一个功能一定要调用这些 API 怎么调用？既然你承认别人的 API 是安全的，却又不让我用，你逻辑自洽吗？

后面再有只考虑自己 curd 这点事的同学想辩论就请不要 at 我了，我不想再回复这种了，先谢谢年轻人能对老古董给予体谅。

能跑就行了

@leeg810312 同样的，如果没理解我前面楼层的意思，就请不要 at 我了。反驳的点都没对到点上，有的还曲解别人的意思。

@lesismal 我们在给世界 500 强公司开发，别人的内部网络安全策略那么严格，需要申请网络策略变更开 IP 开端口，只要走流程能说明清楚，都是可以开，从来不会被各种过时的安全理由而拒绝

@lesismal 我理解，你的意思就是我的地盘我做主，我在管网络就是不让你改。

@lesismal 你知道你是老古董就好, 不要用你的思想加给年轻人, 在技术或是政治等各种领域, 年轻人永远都是最激进的那批, restful 是无法阻挡的浪潮.

看 ls 有的人就奇怪了，现在好多框架都 是 restful 的，比如一直用的 rails 了，get put post delete 四种方法，按 ls 有的人说法，rails 不安全啊，

@leeg810312
请教："能给你开" 和 "本来就可以不用开"，你觉得前者更好吗？

能 curd 的人很多，能上升到工程思考的不多，能上升到工程哲学的更少，共勉吧。

@FightPig
我对号入座一下，至少我没这么说过，不安全也是有场景的。如果擅长断章取义、望文生义，请自便。
如果我对号入座得不对，请无视。

@cweijan
好的，小伙子加油，我看好你们！
而且，论坛嘛，哪来的强加的说法，都是讨论交流，我只是自己管的项目一刀切而已，没项目交集的各位自己喜欢就好。

祖宗之法不可变[doge]

先找几个大公司，提供接口例子证明 put 和 delete 是经得起考验的。
再和甲方说他们的安全设施陈旧，漏洞太多
再提一个适配老旧甲方设施的一揽子方案，（就是替换 put ，delete ），报价高一点，因为乙方还会继续为甲方“贴心的”评估安全性。