安全 QA 说只允许 POST/GET 请求，其它的都不安全？

你把首页限制下。应该可以过。

@lesismal 那种依赖 redis 的伪 jwt 也是垃圾

@lesismal restful 这种拙劣的抽象能火只能说技术领导没点眼力劲，对开发速度和运行速度有害无益

如果你是乙方只能把 shi 吃了，还要说好吃好吃，专业专业

/t/816040
/t/830030

月经帖

/t/634514

put 和 delete 请求确实是有风险吧，只是说风险，后端配置不当的时候会被利用
不过安全行业是这样的了，我觉得你还是做好改的准备吧

找的信安来评估的啊，那你想过审上线就按照他们的建议改，没得选，也别纠结。如果你想写小作文说明你们现在的做法是安全的，他们看都不会看的，只会浪费时间和金钱

@nullpoint007 #50 可能是所有端口不能用默认的，比如说 mysql 不能 3306 ，理所当然 https 不能 443 。哈哈，我司就是这种奇葩规定

顺手找了两个，没仔细看
put:CVE-2017-12615
delete:CVE-2022-40309
至于你想用他跟 get 、post 请求没区别来解释，我觉得不太说的过去，虽然 get 、post 也会因为配置不当或者中间件自身问题造成一些漏洞，但是 get 和 post 是被广泛用来传递参数的，基本上能称得上是必选项，而你用的其他请求属于“可选项”，从风险管控的角度来说，get 和 post 可以叫做可接受风险
有时候我也看着一些所谓的低危漏洞很不爽，但是，没办法

歪个楼嘻嘻。

虽然完全看不懂大家在讲什么，但这种一起讨论技术问题，群策群力的感觉真的很棒。

歪个楼嘻嘻。

虽然完全看不懂大家在讲什么，但这种一起讨论技术问题，抽丝剥茧

@yagamil #93 只限后端 api 请求都是 post ，前端无所谓了。

1. 经验主义
2. 让你们整改对他而言没有任何坏处，还显得“专业”

https://coolshell.cn/articles/22173.html
之前看过的帖子

弄个反带中间改协议吧

这种烂规定也就政府、国企有吧？
什么山炮规定，恶心

安全就安全，有几把 QA 什么事，看你也是个二把刀，狗屁不通的

实际上很多 WAF 默认策略就是把 POST 和 GET 以外的请求方式列为中风险。

交付过 N 多个项目，个人认为
restful 新增的的几个谓词 虚头八脑的玩意。

url 命名完全可以替代他，还比他更易读。 /book/getById/5 /book/deleteByName/6 /book/translateAll

谓词只用 get post 就可以了。
get 说明是 url 传参
post 说明 body 里有数据