關(guān)于安全的建議：對投入使用的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 協(xié)議
Microsoft Corporation
2002 年 2 月

摘要：出于安全原因，Web service 操作人員可能需要對 XML Web services 禁用 HTTP-GET 和 HTTP-POST 消息處理協(xié)議。禁用這些協(xié)議有助于防止外部 Web 站點與您的 Intranet 上的 XML Web services 進(jìn)行惡意通信。

目錄

• 簡介
• 對基于 ASP.NET 的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 協(xié)議
• 禁用 HTTP-GET 和/或 HTTP-POST 的影響
• 總結(jié)

簡介

由于 HTTP-GET 和 HTTP-POST 消息處理協(xié)議的固有功能，在某些條件下，惡意 Web 頁可以使用它所定義的參數(shù)調(diào)用在防火墻后面運行的 XML Web service。這與某些基于 HTTP-GET 的惡意重定向問題類似。如果 XML Web service 支持使用 HTTP-GET 或 HTTP-POST 消息處理協(xié)議（對于使用 ASP.NET 創(chuàng)建的 XML Web services，將默認(rèn)啟用這些協(xié)議）進(jìn)行通信，就可能會發(fā)生此類安全問題。
盡管使用 HTTP-POST 創(chuàng)建惡意 Web 頁并不容易，但如果 XML Web services 沒有使用 HTTP-GET 和 HTTP-POST 消息處理協(xié)議，還是應(yīng)該在提供用 ASP.NET 創(chuàng)建的 XML Web services 的生產(chǎn)用計算機(jī)上禁用對這兩個協(xié)議的支持。
http://www.microsoft.com/china/msdn/library/dnnetsec/images/dishttpget01.gif
圖 1：常見的惡意通信事件步驟說明

1