安全 QA 说只允许 POST/GET 请求，其它的都不安全？

前端拦截非 POST ，在 request headers 里添加 x-method
后端拦截处理 x-method
restful 曲线救国

@zoharSoul #39

极少数情况下。

get 和非 200 http code 也可能搞出来问题。。

所以 post + http code 200 在某些场合下纯粹是不得已而为之。。

@mdn
https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-odata/bdbabfa6-8c4a-4741-85a9-8d93ffd66c41

https://www.ibm.com/docs/en/odm/8.10?topic=methods-overriding-security-restrictions-http

微软 IBM 的解决方案

@guilinxiaobing #6 实际上是 25 度的水和 25 度的 h2o

在我看来 restful 规范 需要很多方的默契。 记得刚毕业的时候，完全遵照 restful ， 前端不配合， 后来就改了，restful 确实不咋地， 我喜欢见明知意 的接口

这不很好吗，明正言顺的直接全 POST

我们集团很多项目都是 POST 梭哈的，HTTP Status 除了 200 401 500 其他都不用，公司项目能跑就行。
见过项目用 RESTful ，经过多年迭代已经变成 POST 梭哈的形状了，有些接口命名很痛苦，比如消息撤回，驳回通过，审批通过这种。

我 TMD 还碰到过说 443 端口有漏洞，然后领导让把 443 端口换成其他端口。
刚刚开始我还怼了一下，架不住隔三岔五的过来说，我捏着鼻子给改了。

RESTful, Lisp 這類學院派的東西，我通常用來寫學校作業，教授看了高興.

公司真實業務就上 POST 、Java ，自己好招人，也免得遇到甲方找麻煩 平白無故多幾天加班為他們改.

@ytmsdy 你这个是真的狠,https 默认端口都能改,哈哈

让他说清楚为什么不安全，他要是说不明白就不给尾款

@baiyi 这东西不是百度谷歌随便一搜就找得到么

https://www.ruanyifeng.com/blog/2011/09/restful.html

https://datatracker.ietf.org/doc/html/rfc4918


restful 作者只是提了一个想法，但没有形成什么明确的规则协议，所以关于 restful 的细节大家各有各的理解，因为最初的作者就是论文里笼统一说，不像 graohQL 。

而 WebDAV ，这玩意出现的不算太晚，但最初人家都是自己客户端和服务通信的，只是基于 http 协议了而已，这样不安客户端的用户也能查看，它和 gRPC 一样，属于特定领域在 http 上实现的私有协议。
WEB 主流世界用不上他们这功能自然支持情况很差，尤其是后端，这是 spring 官方有我提到的那个拦截器的原因，因为在 restful 火起来的同时期的 tomca 7 吧还是 8 都还不支持 PUT 请求。

你们自己花钱请的评审团队。。大哥，你这钱花的有点亏啊。。

@zpf124 #52 看来你对 rest 有点理解，但不多

PUT/Delete 和 POST 安全性上是一样的

他说的不安全不是说「语意」不安全，也不是「业务」或者「设计」不安全，也不是资金不安全，也不是「架构」不安全，而是说：


安全设备/日志分析/工具套件/网关盒子无法处理 GET/POST 之外的 http verb ，无法管控或者审计，所以不安全。

这是对的，引擎支持的方法存在风险，比如 put 的 webshell 上传 ，除了语义不同基本上没区别

又学到了
我用 restful 只是为了路由好看
不需要太多命名
例如 /user/5 ，一个路径通过不同的 method 就可以实现多个功能
如果都用 post 的话，就要好几个路径

命名困难症

> restful 是 作者发现人家 WebDAV 搞的这套 http method 很符合他的想法，所以复用(偷)了他们定义的 http method 而已，仅此而已，实际两者没什么关系。

@zpf124 其实是反过来的。先是先 Roy Fielding 发明了一套「万物皆资源」的拍脑袋理论，然后有人拿「 unix 万物皆文件」给套出来一个 webdav 。参考 /t/867197

/t/816040 结贴