MDN’s new design is in Beta! A sneak peek: https://blog.mozilla.org/opendesign/mdns-new-design-beta/

Safe

说一个HTTP方法是安全的,是说这是个不会修改服务器的数据的方法。也就是说,这是一个对服务器只读操作的方法。这些方法是安全的:GETHEADOPTIONS。所有安全的方法都是idempotent,有些不安全的方法如PUTDELETE则不是。

就算方法具有只读的语义,服务器也能更改它自己的数据,比如:记录这次请求的日志或者数据分析。安不安全的定义是这个方法需不需要服务器修改数据。客户端不需要服务端修改数据,也就不会给给服务端造成不必要的负担。浏览器调用安全的方法不用考虑会给服务端造成什么危害,这样,服务端就能允许客户端预加载资源。网络爬虫也是依赖于安全的HTTP方法。

安全的方法并不意味着只是对服务端的静态文件的请求,服务端可以在请求的时候即时生成资源返回,只要生成资源的脚本保证是安全的即可:也就是说生成资源的时候没有额外的的影响。就像在一个商业网站添加删除购物车里的物品一样。

服务端有正确响应安全请求动作的义务,但是像Apache、nginx和IIS,并没有关于此项的强制规定。再次强调,任何应用都不应该让GET请求修改服务端的状态(数据。

安全的请求,不会改变服务端的状态(数据):

GET /pageX.html HTTP/1.1

非安全的强求方式,可能会引起服务端状态的改变:

POST /pageX.html HTTP/1.1 

一个幂等(idempotent)但是不安全的方法:

DELETE /idX/delete HTTP/1.1

更多

一般了解

  • HTTP规范中的 安全 定义。

技术规范

文档标签和贡献者

标签: 
 此页面的贡献者: maicss
 最后编辑者: maicss,