關于安全的建議：對投入使用的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 協議
Microsoft Corporation
2002 年 2 月

摘要：出于安全原因，Web service 操作人員可能需要對 XML Web services 禁用 HTTP-GET 和 HTTP-POST 消息處理協議。禁用這些協議有助于防止外部 Web 站點與您的 Intranet 上的 XML Web services 進行惡意通信。

目錄

• 簡介
• 對基于 ASP.NET 的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 協議
• 禁用 HTTP-GET 和/或 HTTP-POST 的影響
• 總結

簡介

由于 HTTP-GET 和 HTTP-POST 消息處理協議的固有功能，在某些條件下，惡意 Web 頁可以使用它所定義的參數調用在防火墻后面運行的 XML Web service。這與某些基于 HTTP-GET 的惡意重定向問題類似。如果 XML Web service 支持使用 HTTP-GET 或 HTTP-POST 消息處理協議（對于使用 ASP.NET 創建的 XML Web services，將默認啟用這些協議）進行通信，就可能會發生此類安全問題。
盡管使用 HTTP-POST 創建惡意 Web 頁并不容易，但如果 XML Web services 沒有使用 HTTP-GET 和 HTTP-POST 消息處理協議，還是應該在提供用 ASP.NET 創建的 XML Web services 的生產用計算機上禁用對這兩個協議的支持。
http://www.microsoft.com/china/msdn/library/dnnetsec/images/dishttpget01.gif
圖 1：常見的惡意通信事件步驟說明

1