被客户告知 HTTP 的 PUT 请求不安全，甩锅给我们要求整改

https://www.zhihu.com/question/38770182

主要是历史原因

一直这样啊, 所以你没发现几乎所有的成熟框架处理 rest 都有一个类似 name=__rest 的字段去做 fallback 的么.........

v 站标准月经贴哈哈
搜索 site:v2ex.com restful 了解更多

例如:https://www.v2ex.com/t/634514

报个价，然后说不支持 put 的防火墙不安全

其实你们现在给 js 做下 ajax function 或者 fetch 的猴子补丁， 把 method=put/delete/update 的都给劫持成 post+method 字段， 原生 form 就通过事件委托劫持， 后端那边做个中间件， 检测到这个字段就把 method 改了， 业务层不用变， 花不了多少时间的

@westoy 这个可以

http 都是文本协议啊，安不安全还不是看自己怎么处理，不同方式就是报文内容不一样，说起来要安全都安全，不安全都不安全

@liliclinton 真心老火
@unco020511 真的要吐了

@westoy 我们的也可以再 post 里面套用一个_model 参数来用 post 包装所有请求方式，外行也就不说，真不知道做防火墙那帮子人怎么想的

@xmumiffy 这波反向有道理，哈哈哈

@westoy 整改肯定是有方案，但是为什么要用别人的错，来增加自己的成本

http 的几个请求方法，就 header 字段有区别，要不是浏览器限制，get 也能承载 body 体，真的是有些防火墙厂商运维还四处宣扬，PUT 不安全，工作群里问他们不安全的点在哪里又说不出来

报个价，然后说不支持 put 的防火墙不安全

所以在我有话语权的场合, 我基本上都提倡用 post + json...不用 get 是因为不用把参数带到 url 上面. 但总有人喜欢瞎整, 或者是复制粘贴不管啥, 给出了接口就完事了...要不就是 post get 乱用, 根本不管什么 rest

一看就是没有用 HTTPS ，用了 HTTPS 防火墙还能知道你用的啥方法？

以前只用 GET 和 POST 是因为一些地方运营商屏蔽其他 method ，现在还只用 GET 和 POST 是因为一些运维人员只会复读前辈的“不安全”，前辈为什么说不安全他们是完全不知道，只会有样学样

知其然而不知其所以然，迷信就是这么来的

@qwerthhusn 有道理，不用 HTTPS 还谈什么安全🤣

那就整改啊，上 HTTPS 和 mtls ，让他防火墙检测不到，不就“安全”了吗？

@qwerthhusn WAF 能看到吧（不知道这个「防火墙」在哪一层

上 https

@Buges 上 https ，也可能没用的，防火墙要求把私钥给他。

就是懒.. 估计要走流程改.. IIS Akamai 都遇到默认 PUT 没开的问题

甲方是爸爸，听甲方的

学校还是 zf 吧，我们之前学校也是这种情况，把 put 和 delete 都改成 get post 了