有人向我推荐了这篇文章:
文章中似乎在说,除了 GET 和 POST 之外的所有 HTTP 动词都不安全,并且应该在 Web 服务器配置中禁用。
我认为这篇文章的论点完全是无稽之谈,其基础假设是底层 Web 平台对其他动词的检查不如对 GET 和 POST 严格。
我知道通过遵循最小特权原则只开放所需的动词可以减少攻击面,但是是否真的有一些动词本质上不安全,并且例如在 REST 应用中我应该避免使用 PUT 和 DELETE 呢?
值得一提的是,我的平台是 ASP.NET,包括 Web Forms 和 MVC。