为什么要禁止除GET和POST之外的HTTP方法？

一、HTTP请求方法有哪些

根据HTTP标准，HTTP请求可以使用多种方法，其功能描述如下所示。

HTTP1.0定义了三种请求方法： GET、POST、HEAD

HTTP1.1新增了五种请求方法：OPTIONS、PUT、DELETE、TRACE 、CONNECT

二、举例说明不安全的HTTP方法

众所周知，GET、POST是最为常见方法，而且大部分主流网站只支持这两种方法，因为它们已能满足功能需求。其中，GET方法主要用来获取服务器上的资源，而POST方法是用来向服务器特定URL的资源提交数据。而其它方法出于安全考虑被禁用，所以在实际应用中，九成以上的服务器都不会响应其它方法，并抛出404或405错误提示。以下列举几个HTTP方法的不安全性：

1、OPTIONS方法，将会造成服务器信息暴露，如中间件版本、支持的HTTP方法等。

2、PUT方法，由于PUT方法自身不带验证机制，利用PUT方法即可快捷简单地入侵服务器，上传Webshell或其他恶意文件，从而获取敏感数据或服务器权限。

3、DELETE方法，利用DELETE方法可以删除服务器上特定的资源文件，造成恶意攻击。

三、禁止除GET和POST之外的HTTP方法的原因

1. 安全性：禁止除GET和POST之外的HTTP方法可以增加应用程序的安全性。一些HTTP方法（如PUT、DELETE等）具有修改和删除数据的能力，如果不加限制地允许这些方法，可能会导致未授权的修改或删除操作，从而可能产生安全漏洞。

2. 降低攻击风险：某些恶意用户或攻击者可能会尝试使用非标准的HTTP方法进行攻击，包括发送恶意请求、进行拒绝服务攻击等。通过禁止除GET和POST之外的HTTP方法，可以限制这些潜在攻击的范围。

3. 符合HTTP规范和语义：根据HTTP协议的规范和语义，不同的HTTP方法具有不同的语义含义。GET方法用于获取资源，POST方法用于提交数据等。其他HTTP方法（如PUT、DELETE等）具有特定的用途，不应被滥用。因此，禁止除GET和POST之外的HTTP方法可以确保应用程序的HTTP交互符合规范和语义。