默认情况下，为什么在asmx webservices中禁用SOAP和GET？

Question

我即将为我的asmx webservices打开缺少的协议。它们已经落后于两层认证，并且具有检查属性的角色，否则它是安全的。

此MS KB article explains GET and SOAP默认情况下禁用asmx，而默认情况下启用POST，但没有说明除“安全原因”以外的原因。这只是迷信吗？他们为什么这样做？似乎启用POST与启用GET一样不安全。

我想这会减少攻击面，但是禁用所有东西，直到有人通过特定的协议调用webservice比启用POST更安全。

Answer 1

实际的链接是INFO: HTTP GET and HTTP POST Are Disabled by Default。

GET和POST协议不支持SOAP标头。出于安全目的，这些是许多服务所必需的。另外，这些协议并不经常用于纯SOAP服务（因为该协议指定使用POST）。让他们打开的门打开，没人会看。坏人可能会潜入。