我即将打开我的asmx webservices缺少的协议。它们已经落后于两层身份验证,并且具有角色检查属性,因此它是安全的。
默认情况下,对于asmx禁用此MS KB article explains GET and SOAP,而默认情况下启用POST,但除了“安全原因”之外没有说明原因。这只是迷信吗?他们为什么这样做?似乎启用POST与启用GET一样不安全。
我认为这减少了攻击面,但是在某人通过特定协议调用Web服务之前禁用所有内容比启用POST更安全。
答案 0 :(得分:1)
实际链接为INFO: HTTP GET and HTTP POST Are Disabled by Default 。
GET和POST协议不支持SOAP标头。出于安全考虑,这些是许多服务所必需的。
另外,这些协议通常不用于纯SOAP服务(因为协议指定使用POST)。让它们打开会打开一扇门,没人会看。坏人可能潜入。