1
3
テーマ、知りたいこと
下記経緯にも記述しましたが,PUT や DELETE メソッドを使わない API を設計する理由として,
form タグの method 属性が対応していないこと以外に理由はあるのでしょうか.
真偽はともかく,軽く調べたところだと「Web ブラウザが対応していない」や「セキュリティの問題がある」などの意見が散見されました.
前者については,少なくとも現在有力なブラウザは対応していると思うので,古いないしは限定的な理由なのかなと思います.
後者については PUT および DELETE に認証がないなどという記述が見られました.
(検索の仕方に問題があるのかもしれませんが) そのあたりについて具体的に述べている資料を見つけるに至りませんでした.
また WAF や Proxy で弾かれてしまうからと仰っている人もいましたが,それは結局のところ設定の問題だと思うので知りたい結論ではありませんでした.
改めて知りたいことを整理すると,
PUT および DELETE メソッドにあって,POST メソッドにはない(主にセキュリティの観点での)問題点とは具体的に何なのか
です.
経緯
API 設計において,PUT や DELETE を用いず GET および POST のみで設計する人が少なからずいます.
HTML form タグの method 属性が get および post しか対応していないことが由来なのだろうとは思っていましたが,それ以上の理由が存在するのか調べたのがきっかけです.
回答3件
#1
総合スコア363
投稿2024/01/31 08:15
明らかに間違ってることなら無視すればいい。
#2
総合スコア145192
投稿2024/01/31 10:11
軽く調べたところだと「Web ブラウザが対応していない」や「セキュリティの問題がある」などの意見が散見されました.
Web上にあるものでしたら、具体的にリンクをご提示ください。読み取って要約する過程で誤解が生じた可能性もあります。
#3
総合スコア428
投稿2024/02/06 12:12
編集2024/02/06 12:14恐らく https://www.intellilink.co.jp/column/vulner/2017/100400.aspx で紹介されているような、特定のソフトウェアにおけるPUTなどが絡んだ脆弱性が拡大解釈されているのが根本原因かと思われます。それによって「PUTやDELETEは危ない!」と診断するケースがあるようです(例: https://cyberfortress.jp/2020/05/21/blog-web-method-issue/ )。
筆者自身そうした指摘を脆弱性診断で受けたことがあり、止むなくPOSTに変えたことがあります。あくまでインターフェースでしかないわけですし、実際に脆弱なのは実装の方なのですから「PUTやDELETEだから危ない」と判断するのは流石に早計だと今でも思いますが...。
ちなみに、HTMLのform要素でGETやPOSTしか使えない件は、また別物と思われます。https://github.com/whatwg/html/issues/3577 曰く、「GETやPOSTも使えるようにしよう」という議論は過去にもあったそうですが、ブラウザーの細かい挙動を考える上で色々考慮すべき新しい問題が発生するそうで、結局採択されていません。この辺の詳しい事情は私もちゃんと把握できてなくて恐縮ですが、参考まで。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。