默認情況下，爲什麼在asmx webservices中禁用SOAP和GET？

Question

我即將爲我的asmx webservices打開缺少的協議。它們已經落後於兩層認證，並且具有檢查屬性的角色，否則它是安全的。

此MS KB article explains GET and SOAP默認情況下禁用asmx，而默認情況下啓用POST，但沒有說明除「安全原因」以外的原因。這只是迷信嗎？他們爲什麼這樣做？似乎啓用POST與啓用GET一樣不安全。

我想這會減少攻擊面，但是禁用所有東西，直到有人通過特定的協議調用webservice比啓用POST更安全。

Answer 1

實際的鏈接是INFO: HTTP GET and HTTP POST Are Disabled by Default。

GET和POST協議不支持SOAP標頭。出於安全目的，這些是許多服務所必需的。另外，這些協議並不經常用於純SOAP服務（因爲該協議指定使用POST）。讓他們打開的門打開，沒人會看。壞人可能會潛入。