为什么默认情况下在asmx Web服务中禁用SOAP和GET?

时间:2009-05-29 23:08:15

标签: asmx

我即将打开我的asmx webservices缺少的协议。它们已经落后于两层身份验证,并且具有角色检查属性,因此它是安全的。

默认情况下,对于asmx禁用此MS KB article explains GET and SOAP,而默认情况下启用POST,但除了“安全原因”之外没有说明原因。这只是迷信吗?他们为什么这样做?似乎启用POST与启用GET一样不安全。

我认为这减少了攻击面,但是在某人通过特定协议调用Web服务之前禁用所有内容比启用POST更安全。

1 个答案:

答案 0 :(得分:1)

实际链接为INFO: HTTP GET and HTTP POST Are Disabled by Default

GET和POST协议不支持SOAP标头。出于安全考虑,这些是许多服务所必需的。

另外,这些协议通常不用于纯SOAP服务(因为协议指定使用POST)。让它们打开会打开一扇门,没人会看。坏人可能潜入。