网络应用程序安全指南/预取和蜘蛛
GET 请求不应该/不期望触发操作/更改,并且被各种浏览器机制(如预取或会话恢复)以及爬虫愉快地遵循。这会导致意外操作被完全触发,而无需用户交互,也无需攻击。
为了防止这种情况
- 对于任何触发操作的操作,使用 POST 请求代替 GET 请求
基本原理
GET 请求可以被自动和无意地触发,例如由爬虫触发。例如,在“删除”按钮的情况下,这会导致具有积极预取的单个用户仅仅通过打开列表页面意外地删除所有内容。POST 请求预计会触发操作,并且浏览器会相应地处理它们。
GET 请求不应该/不期望触发操作/更改,并且被各种浏览器机制(如预取或会话恢复)以及爬虫愉快地遵循。这会导致意外操作被完全触发,而无需用户交互,也无需攻击。
GET 请求可以被自动和无意地触发,例如由爬虫触发。例如,在“删除”按钮的情况下,这会导致具有积极预取的单个用户仅仅通过打开列表页面意外地删除所有内容。POST 请求预计会触发操作,并且浏览器会相应地处理它们。