关于安全的建议：对投入使用的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 协议

Microsoft Corporation

2002 年 2 月

摘要：出于安全原因，Web service 操作人员可能需要对 XML Web services 禁用 HTTP-GET 和 HTTP-POST 消息处理协议。禁用这些协议有助于防止外部 Web 站点与您的 Intranet 上的 XML Web services 进行恶意通信。 目录简介 对基于 ASP.NET 的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 协议 禁用 HTTP-GET 和/或 HTTP-POST 的影响 总结 简介

由于 HTTP-GET 和 HTTP-POST 消息处理协议的固有功能，在某些条件下，恶意 Web 页可以使用它所定义的参数调用在防火墙后面运行的 XML Web service。这与某些基于 HTTP-GET 的恶意重定向问题类似。如果 XML Web service 支持使用 HTTP-GET 或 HTTP-POST 消息处理协议（对于使用 ASP.NET 创建的 XML Web services，将默认启用这些协议）进行通信，就可能会发生此类安全问题。

尽管使用 HTTP-POST 创建恶意 Web 页并不容易，但如果 XML Web services 没有使用 HTTP-GET 和 HTTP-POST 消息处理协议，还是应该在提供用 ASP.NET 创建的 XML Web services 的生产用计算机上禁用对这两个协议的支持。

http://www.microsoft.com/china/msdn/library/dnnetsec/images/dishttpget01.gif

图 1：常见的恶意通信事件

步骤说明1