安全 QA 说只允许 POST/GET 请求，其它的都不安全？

@Nazz put 和 delete 都不安全，因为它们可以往服务器上传文件，有某些著名的服务器配置不当，会留下漏洞，攻击者可以通过上传 webshell 来提权。而 put 本身如果服务器可以通过配置允许上传或者 delete ，就容易造成忽略，留下尾巴。

put 和 delete 都不安全，因为它们可以往服务器上传文件，有某些著名的服务器配置不当，会留下漏洞，攻击者可以通过上传 webshell 来提权。而 put 本身如果服务器可以通过配置允许上传或者 delete ，就容易造成忽略，留下尾巴。但是如果你比较注意，用 put 和 delete 也没问题。

https://github.com/moby/moby/issues/9015
docker 甚至一大堆云原生的项目不是照样 restful

https://github.com/opencontainers/distribution-spec/blob/main/spec.md#enabling-the-referrers-api
这是 OCI 的规范

POST /resource/:id?_method=DELETE
框架或网关 rewrite 一下搞定

POST 一把梭

很多防火墙都是这样的，没啥奇怪的
而且 update 用 put 的话，遇到数据包太大，浏览器类型的宿主环境会报错的，OP 没遇到过吗？

我也是很不理解为啥非要用 restful

@workshop put 和 delete 并不能拿来往服务器传文件。现代服务器就算你传了文件也无法执行。

“老夫所有接口 post 一把梭”

@baiyi 你说的对，还是你理解深入，给你点赞

@workshop 服务器的问题 http method 不背锅. 本质都一样, $method / HTTP/1.1\r\n .

有些地方合规要求就是这么奇怪，所以我现在已经不怎么用 RESTful 风格了，没必要为难自己，像 /admin/user/delete 把谓词放到路径结尾也没那么难看。

这好办，让乙方把这条规则去掉，否则不付款。

误解，ctmd ，之前刚被折腾过，怎么解释都不听

最近也在做合规的事，只要是和合规相关，没得选。喜好屁股等被 x 就好

上面都在讨论技术问题，lz 是外部安全外包团队出具安全评测报告的。所以这是不是一个技术问题，这是一个销售问题。人家合同里写必须要经过第三方 QA 检测通过你有什么办法

出安全报告这种事怎么感觉闭着眼睛跑扫描器就能赚钱

@datou 真的，我见过不允许 OPTION 的

技术不行怪路不平

乐了，还有人在讨论 restful API 的问题……

所以你们没用过 k8s 或者 docker 的 http api 么，那不都是 restful 的……特别是 k8s ，PATCH 用的飞起，真是服了。