https://okky.kr/article/395308
OKKY | RESTful API 구현 시 POST,PUT,DELETE,GET Method의 사용범위는?
안녕하세요. 초보 웹 개발자 입니다. 맨날 초보 개발자라고 저를 소개하는군요 ;; 다름이 아니라 이번에 새 프로젝트를 진행하게 되었는데요. 모바일 요청에 대한 API를 구현해야하는데 RESTful 하
okky.kr
DELETE, PUT 이 GET, POST에 비해서 보안상 문제가 된다고 얘기하는 이유는
GET, POST 가 주로 사용되고, DELETE, PUT은 자주 사용되지 않다보니
서버 관리자가 주로 GET, POST에 대해서만 보안설정을 하는 경우가 많아서 그런 얘기가 나온걸로 알고 있습니다.
물론 옛날부터 내려오는 얘기구요, 요즘처럼 REST API를 많이 사용하는 시대에는 GET, POST에 대해서만 보안을 거는 관리자가 더 문제가 되겠죠. 프로토콜 자체는 아무 죄가 없습니다. 관리하는 사람이 문제인거죠.
헐.. GET, POST 에만 보안을 건다는 건 무슨 이야기지요?
그렇게 할 수 있다는 생각 자체가 의문인데요?
초보자가 보면 오해할 발언을 모르면서 하시는 것 같습니다.
제가 알아듣기 쉽게 답변한다고 쓴게 오해를 불러일으킬 수 있었겠네요.
설마 GET, POST 만 암호화해서 전송한다는 말이겠습니까?;;;;
HTTP 1.1 표준에는 다음과 같이 정의되어 있구요.
- OPTIONS
- GET
- HEAD
- POST
- PUT
- DELETE
- TRACE
- CONNECT
이걸 모두 활성화하게 되면 WebDAV extention에서 아래와 같은 메소드가 추가됩니다.
- PROPFIND
- PROPPATCH
- MKCOL
- COPY
- MOVE
- LOCK
- UNLOCK
이 메소드들을 사용하면 웹 서버의 파일을 변경할 수가 있게 되서 보안에 심각한 문제가 생깁니다.
그래서 서버 관리자 입장에선 보통 GET,POST만 사용할 수 있게 하고 나머지는 모두 막아버리는게 속편하죠. 이런 것들이 점점 말이 전달되면서 GET, POST 는 안전하고 나머지는 안전하지 않다라고 흘러간 거겠죠.
좀 더 자세한건 다음 링크를 참고해보시구요.
혹시 제가 잘못알고 있는게 있으면 알려주시면 감사하겠습니다.
'고민, 나중에..' 카테고리의 다른 글
| 마이바티스 SQL 고찰..(개인 학습)<where><if></if></where> (0) | 2022.02.12 |
|---|---|
| Controller 설계에 대한 고민 (0) | 2022.02.10 |
| Delete시 id값 파라미터는 int? String? 상관없었다. (0) | 2022.02.07 |
댓글