Se una pagina web è sicura (nessun effetto sul lato servizio) ma usi POST
parametri (per evitare problemi di lunghezza dell'URL), allora dovrebbe essere vietato chiamarlo usando GET
? O ogni pagina dovrebbe avere una sorta di "marcatore" che dice che è sicuro o non sicuro e proibisce GET
solo su non sicuri ?
In primo luogo, alcuni refactoring vanno qua e là per avere solo GET
e POST
solo pagine (e non più "mix"), mentre il secondo porta a pagine potenzialmente dimenticate (quelle vecchie e quelle imminenti di nuovi sviluppatori) .
Ho letto il post correlato " Devo impedire l'invio di richieste GET per gli URL che normalmente vengono gestiti con la richiesta POST? " ma quella domanda era per non sicuro POST
, che ovviamente deve vietare GET
. Qui, si tratta di come gestire globalmente { sicuro POST
che potrebbe essere chiamato da GET
+ safe GET
+ unsafe POST
che non deve essere GET
callable}.