關(guān)于安全的建議：對(duì)投入使用的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 協(xié)議
Microsoft Corporation
2002 年 2 月

摘要：出于安全原因，Web service 操作人員可能需要對(duì) XML Web services 禁用 HTTP-GET 和 HTTP-POST 消息處理協(xié)議。禁用這些協(xié)議有助于防止外部 Web 站點(diǎn)與您的 Intranet 上的 XML Web services 進(jìn)行惡意通信。

目錄

• 簡(jiǎn)介
• 對(duì)基于 ASP.NET 的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 協(xié)議
• 禁用 HTTP-GET 和/或 HTTP-POST 的影響
• 總結(jié)

簡(jiǎn)介

由于 HTTP-GET 和 HTTP-POST 消息處理協(xié)議的固有功能，在某些條件下，惡意 Web 頁(yè)可以使用它所定義的參數(shù)調(diào)用在防火墻后面運(yùn)行的 XML Web service。這與某些基于 HTTP-GET 的惡意重定向問(wèn)題類(lèi)似。如果 XML Web service 支持使用 HTTP-GET 或 HTTP-POST 消息處理協(xié)議（對(duì)于使用 ASP.NET 創(chuàng)建的 XML Web services，將默認(rèn)啟用這些協(xié)議）進(jìn)行通信，就可能會(huì)發(fā)生此類(lèi)安全問(wèn)題。
盡管使用 HTTP-POST 創(chuàng)建惡意 Web 頁(yè)并不容易，但如果 XML Web services 沒(méi)有使用 HTTP-GET 和 HTTP-POST 消息處理協(xié)議，還是應(yīng)該在提供用 ASP.NET 創(chuàng)建的 XML Web services 的生產(chǎn)用計(jì)算機(jī)上禁用對(duì)這兩個(gè)協(xié)議的支持。
http://www.microsoft.com/china/msdn/library/dnnetsec/images/dishttpget01.gif
圖 1：常見(jiàn)的惡意通信事件步驟說(shuō)明

1