安全 QA 说只允许 POST/GET 请求，其它的都不安全？

在业务系统里用 restful 就没见过有善终的
restful 里在中间件小项目里用用得了，真上规模的大项目用存粹是恶心前后端所有人

1. 你去问问 ChatGPT 。

……讲真，这属于你们的安全 QA 水平太次了

完了 AWS S3 的 API 岂不是也不安全

可以建议安全 QA 去给 AWS 发个 ticket 建议只用 GET/POST 并且附上详细原因

这又不是技术问题，只能改。我之前公司也是按照 restful 规范，但是移动那边说不行，只能改成 get 和 post 。你自己不是甲方，那你就只能改，只能忍。

RFC 9110 HTTP Semantics
只有魔法才能打败魔法，告诉对方，我们是严格按照国际标准开发的。

我没有找到 gb 标准，如果能找到对应的 gb 标准，说服力更强。

@Nazz
TCP 握手和断开、HTTP1.0 和 2.0 、Restful 、Actor 、函数式编程、设计模式。。。
这一大堆玩意的主要内容没一个好东西，都是垃圾

我们甲方爸爸是省级联通，在某个项目的第一轮安全外包测试结果里面有提到过这个，说不安全，会删除/移动/修改资源啥的。。。
但是没办法 我们应用设计的时候就已经用了其他的 METHOD ，只好在 NGINX 层做了一次方法转换, 然后在 spring 里面做了支持
if ($uri ~* "/(GET|POST|PUT|DELETE)/$") {
set $param_method $1;
}

add_header X-HTTP-Method-Override $param_method;


然后对应后端处理一下
https://gist.github.com/Zerek-Cheng/b6cc7a92a3ac64e6be852d1cb089e64b

@Nazz 之前的帖子喷了不少，浪费时间，这个帖子我不继续回复了
https://www.v2ex.com/t/816040#reply90
https://www.v2ex.com/t/816040?p=2#L151

两年前就是 post 一把梭了，公司项目都是 post ，反正我来打工的，老板想怎么样就怎么样，如果前面是坑照样踩，出了问题也不是我们背锅。

这个第三方公司和楼上好多都是什么三流公司？我做内部项目还是客户项目，安全检查从没有遇到过不能用 put 和 delete 的情况，还漏洞呢，都是什么年代的上古漏洞？

会不会甲方只会 POST ，GET ，其他的认为多余且危险？

@Jtyczc 如果有首页的，浏览器怎么打开首页？

@lesismal 😁 TCP 、HTTP 、RESTful 、Actor 、FP 、设计模式 AOE 个遍的还是第一次见，翻了一下喜欢 if err 喜欢 Go ，怕不是经典大道至简…… 看到 Go 社区都是这种 b 人我就放心了。

@ytmsdy

这个大概是因为 1024 以下要 root 权限 webserver 如果有问题会悲据 可能会转发或不用了

我一开始都是只用两个 method
resource 区分 后来知道 restful 也很少用 restful
基本没不同 如果 webserver 没问题
webdav 我不喜欢这东西 新增 method 可以 但 xml 格式不能忍

要吃弱智的饭，就不要嫌弱智傻。如果不吃，就把弱智踹开。

尤其维护某专案 webdav 我都快累死了

@leeg810312

是三流公司 阿里巴巴 旗下淘寶

防黑有两个层次：理论防黑与实践防黑。楼主说的这个问题，属于后者。

也就是说，如果大家都遵守规范去做，这玩意其实是不会有安全问题的。但实践中我们发现，很多人为了偷懒，为了高效率，根本不会按规范去做，才导致了这些问题。

类似的问题还有偷懒了没把控制命令与数据分开的 SQL 注入漏洞、脚本注入漏洞；

偷懒没规划权限与加密的早期版本的 Windows 的共享 SAMBA 、FTP 、HTTP 等等。