Как отключить использование глагольного туннелирования с использованием таких заголовков или параметров запроса в .NET?
Мне не удается выполнить сканирование безопасности, в котором говорится, что мое приложение .NET разрешает туннелирование глаголов, и я рекомендую отключить это. Приложение должно принимать заголовки PUT и DELETE, а также GET и POST.
Сканирование отправляет эти заголовки в конечную точку, которая принимает POST:
X-HTTP-METHOD: PUT
X-HTTP-Method-Override: PUT
X-METHOD-OVERRIDE: PUT
Я провел много исследований, и мне трудно найти способ «отключить» туннелирование глаголов. Похоже, что эти методы нужно разрешить, а не наоборот.
Например, в .NET метод HttpMethodOverrideExtensions позволяет использовать эти типы заголовков. Я вижу несколько руководств о том, как разрешить использование трех заголовков, размещенных выше.
Правильно ли я в своем ответе говорю, что приложение по умолчанию не разрешает туннелирование глаголов, поскольку методы, позволяющие это сделать, не находятся в базе кода приложения?
Разрешение им обычных действий - это не то же самое, что разрешение переопределений. Может, это поможет? Это Java, но веб-конфигурация для IIS или что-то подобное для других серверов.