Question

Я собираюсь включить отсутствующие протоколы для моих веб-сервисов asmx. Они уже находятся за двумя уровнями аутентификации и имеют атрибут проверки роли, поэтому в противном случае он безопасен.

В этой статье MS KB объясняется, что GET и SOAP отключены для asmx по умолчанию, в то время как POST включен по умолчанию, но не говорит почему, кроме "соображений безопасности". Это просто суеверие? Почему они это сделали? Кажется, что включение POST так же небезопасно, как и включение GET.

Полагаю, это уменьшило поверхность атаки, но отключение всего, пока кто-нибудь не вызовет веб-сервис по определенному протоколу, будет даже более безопасным, чем включение POST.

John Saunders · Answer 1 · 22 июля 2009

Фактическая ссылка ИНФОРМАЦИЯ: HTTP GET и HTTP POST по умолчанию отключены .

Протоколы GET и POST не могут поддерживать заголовки SOAP. Это требуется многими службами в целях безопасности.

Кроме того, эти протоколы не используются так часто, как для чистых сервисов SOAP (так как протокол определяет использование POST). Когда они открыты, дверь остается открытой, и никто не будет за ней наблюдать. Плохие люди могут проникнуть внутрь.

Почему SOAP и GET отключены в asmx webservices по умолчанию?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Почему SOAP и GET отключены в asmx webservices по умолчанию?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы