blob: c1f710f630c21656ad1f2e5c09bb682d97777537 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
---
title: Safe(安全)
slug: Glossary/safe
tags:
- Glossary
- HTTP
- 术语
translation_of: Glossary/safe
---
<p>如果说一个 HTTP 方法是<code>安全</code>的,是指这是个不会修改服务器的数据的方法。也就是说,这是一个对服务器只读操作的方法。这些方法是安全的:{{HTTPMethod("GET")}},{{HTTPMethod("HEAD")}} 和 {{HTTPMethod("OPTIONS")}}。所有安全的方法都是{{glossary("idempotent", "幂等")}}的,有些不安全的方法如 {{HTTPMethod("PUT")}} 和 {{HTTPMethod("DELETE")}} 则不是。</p>
<p>就算方法具有只读的语义,服务器也能更改它自己的数据,比如:记录这次请求的日志或者数据分析。安不安全的定义是这个方法需不需要服务器修改数据。客户端不需要服务端修改数据,也就不会给服务端造成不必要的负担。浏览器调用安全的方法不用考虑会给服务端造成什么危害,这样,服务端就能允许客户端预加载资源。网络爬虫也是依赖于安全的 HTTP 方法。</p>
<p>安全的方法并不意味着只是对服务端的静态文件的请求,服务端可以在请求的时候即时生成资源返回,只要生成资源的脚本保证是安全的即可:也就是说生成资源的时候没有额外的影响。就像在一个电商网站添加删除购物车里的物品一样。</p>
<p>服务端有正确响应安全请求动作的义务,但是像 Apache、nginx 和 IIS,并没有关于此项的强制规定。再次强调,任何应用都不应让 {{HTTPMethod("GET")}} 请求修改服务端的状态(数据)。</p>
<p>安全的请求,不会改变服务端的状态(数据):</p>
<pre>GET /pageX.html HTTP/1.1
</pre>
<p>非安全的请求方式,可能会引起服务端状态的改变:</p>
<pre>POST /pageX.html HTTP/1.1 </pre>
<p>一个幂等(idempotent)但是不安全的方法:</p>
<pre>DELETE /idX/delete HTTP/1.1</pre>
<h2 id="更多">更多</h2>
<h3 id="一般了解">一般了解</h3>
<ul>
<li>HTTP规范中的 <a href="https://tools.ietf.org/html/rfc7231#section-4.2.1">安全</a> 定义。</li>
</ul>
<h3 id="技术规范">技术规范</h3>
<ul>
<li>安全方法的详细解释: {{HTTPMethod("GET")}}, {{HTTPMethod("HEAD")}}, {{HTTPMethod("OPTIONS")}}</li>
<li>非安全方法的详细解释: {{HTTPMethod("PUT")}}, {{HTTPMethod("DELETE")}}, {{HTTPMethod("POST")}}</li>
</ul>
|
