La mia applicazione web per i metodi PUT, DELETE e qualsiasi metodo junk HTTP restituisce la stessa risposta del metodo GET (pagina principale html, nulla viene caricato o cancellato), per TRACE c'è la risposta 405. È insicuro? Molte risorse consiglia di consentire solo GET e POST, significa che la risposta dovrebbe essere "405 Metodo non consentito"?
Un bel po 'di siti staticamente efficaci ignorano il verbo HTTP usato, trattandoli tutti come GET , con l'eccezione di HEAD , che restituisce solo le intestazioni per la risposta. Questo non è necessariamente un problema, se il sito non utilizzerà mai gli altri verbi, ma può contribuire ad un debito tecnico se inizi ad utilizzarli in futuro.
Ad esempio, se hai implementato un'API che consentiva la sostituzione del contenuto tramite le richieste di PUT , utilizzando lo stesso codice delle pagine principali, ma hai dimenticato di limitare l'utilizzo di PUT all'API, potresti terminare con persone in grado di modificare le tue pagine principali. Questo è un po 'forzato, ma questo genere di cose accade.
In generale, è ragionevole utilizzare un approccio "verbi consentiti" e assicurarsi che se hai bisogno di qualcosa di diverso per una particolare sezione del tuo sito, funziona solo lì.
My web application for methods PUT, DELETE and any junk HTTP method return the same response as for GET method (html main page, nothing is uploaded or deleted), for TRACE there is response 405. Is this insecure?
Poiché questo è security.SE, non programmers.SE, risponderò solo a come questo si applica alla sicurezza: non ci sono reali implicazioni per la sicurezza nella scelta di 405s rispetto alla pretesa che tutto sia un GET.