HTTP Request method包含如下:

1. GET 把資料附在URI上,取得想要的資訊,限制為1024字元(GET的回應是可以被快取的)

2. POST 在body塞含機敏性的資料,傳給指定的URI做處理(一般POST不會被快取,但伺服器設定Cache-Control或Expires標頭,仍可以對POST的回應做快取)

3. OPTIONS 列出所有該Web Server 有支援的 http method

4. HEAD 只會回傳網頁的header不會回傳內容,所以可透過此掃整個網站,確認網頁有哪些路徑

5. PUT 允許用戶端上傳檔案至伺服器

6. DELETE 允許用戶端將伺服器的檔案刪除

7. TRACE 開發者debug使用,但可能揭露出不必要的資訊,例如已經設為http only的cookie會被顯示在資訊上

8. CONNECT 

 

備註:

1. 一般建議只開放GET、POST這兩個method
2. HTTP Request可以透過工具任意修改,繞過防護找到駭客需要了解的資訊

 

跟資安相關可參考以下詳細閱讀:

1. 駭客眼中的HTTP Request/Response
2. HttpOnly - HTTP Headers 的資安議題 (3)
3
重新認識HTTP請求方法(有說明該如何應用於REST架構)

 

 

 

arrow
arrow

    cabuchi 發表在 痞客邦 留言(2) 人氣()