Seguridad web
Páginas: 6 (1389 palabras)
Publicado: 20 de marzo de 2012
RESTRICCIONES DE METODOS HTTP.
TIPOS DE METODOS HTTP (PETICION).
HTTP define 8 métodos (algunas veces referido como "verbos") que indica la acción que desea que se efectúe sobre el recurso identificado. Lo que este recurso representa, si los datos pre-existentes o datos que se generan de forma dinámica, depende de la aplicación del servidor. A menudo, el recurso corresponde a un archivo o lasalida de un ejecutable que residen en el servidor.
HEAD: Pide una respuesta idéntica a la que correspondería a una petición GET, pero sin el cuerpo de la respuesta. Esto es útil para la recuperación de meta-información escrita en los encabezados de respuesta, sin tener que transportar todo el contenido.
GET: Pide una representación del recurso especificado. Por seguridad no debería ser usado poraplicaciones que causen efectos ya que transmite información a través de la URI agregando parámetros a la URL.
Ejemplo:
GET /images/logo.png HTTP/1.1 obtiene un recurso llamado logo.png
Ejemplo con parámetros:
/index.php?page=main&lang=es.
El método GET se utiliza para recuperar información identificada por un URI por parte de los navegadores. Si el URI se refiere a un proceso generador de datoscomo un programa CGI, en lugar de él, se devuelven los datos generados por el programa. El método GET también se puede utilizar para pasar una pequeña cantidad de información al servidor en forma de pares atributo-valor añadidos al final del URI detrás de un símbolo de interrogación, ?.
GET /cgi/saludar.pl?nombre=pepe&email=pepe@infor.uva.es HTTP/1.0
La longitud de la peticiónGET está limitada por el espacio libre en los buffers de entrada. Por lo que para mandar una gran cantidad de información al servidor ha de utilizarse el método POST.
POST: Somete los datos a que sean procesados para el recurso identificado. Los datos se incluirán en el cuerpo de la petición. Esto puede resultar en la creación de un nuevo recurso o de las actualizaciones de los recursosexistentes o ambas cosas.
El método POST se refiere normalmente a la invocación de procesos que generan datos que serán devueltos como respuesta a la petición. Además se utiliza para aportar datos de entrada a esos programas. En este caso los pares atributo-valor son incluidos en el cuerpo de la petición separados por ampersand.
POST /cgi/saludar.pl HTTP/1.0
Accept: */*nombre=pepe&email=pepe@infor.uva.es
De este modo el método POST no sufre de las limitaciones de espacio y puede enviar mucha más información al servidor.
PUT: Sube, carga o realiza un upload de un recurso especificado (archivo), es el camino más eficiente para subir archivos a un servidor, esto es porque en POST utiliza un mensaje multiparte y el mensaje esdecodificado por el servidor. En contraste, el método PUT te permite escribir un archivo en una conexión socket establecida con el servidor.
La desventaja del método PUT es que los servidores de hosting compartido no lo tienen habilitado.
Ejemplo:
PUT /path/filename.html HTTP/1.1
Limitación de ida y vuelta de la solicitud PUT
El marco de trabajo de los servicios de datos de ADO.NET admite unescenario de ida y vuelta que use una solicitud GET en un URI concreto para devolver una carga. Un escenario típico sería modificar parte de los datos y pasar la misma carga a una solicitud PUT de ese URI. Este proceso no funcionará si una propiedad de una entidad no es una clave sino una columna de identidad. La única solución es cambiar la columna de identidad del archivo de lenguaje de definición deesquemas de almacén (SSDL) a una propiedad calculada.
DELETE: Borra el recurso especificado.
TRACE: Este método solicita al servidor que envíe de vuelta en un mensaje de respuesta, en la sección del cuerpo de entidad, toda la data que reciba del mensaje de solicitud. Se utiliza con fines de comprobación y diagnostico.
OPTIONS: Devuelve los métodos HTTP que el servidor soporta para un URL...
TIPOS DE METODOS HTTP (PETICION).
HTTP define 8 métodos (algunas veces referido como "verbos") que indica la acción que desea que se efectúe sobre el recurso identificado. Lo que este recurso representa, si los datos pre-existentes o datos que se generan de forma dinámica, depende de la aplicación del servidor. A menudo, el recurso corresponde a un archivo o lasalida de un ejecutable que residen en el servidor.
HEAD: Pide una respuesta idéntica a la que correspondería a una petición GET, pero sin el cuerpo de la respuesta. Esto es útil para la recuperación de meta-información escrita en los encabezados de respuesta, sin tener que transportar todo el contenido.
GET: Pide una representación del recurso especificado. Por seguridad no debería ser usado poraplicaciones que causen efectos ya que transmite información a través de la URI agregando parámetros a la URL.
Ejemplo:
GET /images/logo.png HTTP/1.1 obtiene un recurso llamado logo.png
Ejemplo con parámetros:
/index.php?page=main&lang=es.
El método GET se utiliza para recuperar información identificada por un URI por parte de los navegadores. Si el URI se refiere a un proceso generador de datoscomo un programa CGI, en lugar de él, se devuelven los datos generados por el programa. El método GET también se puede utilizar para pasar una pequeña cantidad de información al servidor en forma de pares atributo-valor añadidos al final del URI detrás de un símbolo de interrogación, ?.
GET /cgi/saludar.pl?nombre=pepe&email=pepe@infor.uva.es HTTP/1.0
La longitud de la peticiónGET está limitada por el espacio libre en los buffers de entrada. Por lo que para mandar una gran cantidad de información al servidor ha de utilizarse el método POST.
POST: Somete los datos a que sean procesados para el recurso identificado. Los datos se incluirán en el cuerpo de la petición. Esto puede resultar en la creación de un nuevo recurso o de las actualizaciones de los recursosexistentes o ambas cosas.
El método POST se refiere normalmente a la invocación de procesos que generan datos que serán devueltos como respuesta a la petición. Además se utiliza para aportar datos de entrada a esos programas. En este caso los pares atributo-valor son incluidos en el cuerpo de la petición separados por ampersand.
POST /cgi/saludar.pl HTTP/1.0
Accept: */*nombre=pepe&email=pepe@infor.uva.es
De este modo el método POST no sufre de las limitaciones de espacio y puede enviar mucha más información al servidor.
PUT: Sube, carga o realiza un upload de un recurso especificado (archivo), es el camino más eficiente para subir archivos a un servidor, esto es porque en POST utiliza un mensaje multiparte y el mensaje esdecodificado por el servidor. En contraste, el método PUT te permite escribir un archivo en una conexión socket establecida con el servidor.
La desventaja del método PUT es que los servidores de hosting compartido no lo tienen habilitado.
Ejemplo:
PUT /path/filename.html HTTP/1.1
Limitación de ida y vuelta de la solicitud PUT
El marco de trabajo de los servicios de datos de ADO.NET admite unescenario de ida y vuelta que use una solicitud GET en un URI concreto para devolver una carga. Un escenario típico sería modificar parte de los datos y pasar la misma carga a una solicitud PUT de ese URI. Este proceso no funcionará si una propiedad de una entidad no es una clave sino una columna de identidad. La única solución es cambiar la columna de identidad del archivo de lenguaje de definición deesquemas de almacén (SSDL) a una propiedad calculada.
DELETE: Borra el recurso especificado.
TRACE: Este método solicita al servidor que envíe de vuelta en un mensaje de respuesta, en la sección del cuerpo de entidad, toda la data que reciba del mensaje de solicitud. Se utiliza con fines de comprobación y diagnostico.
OPTIONS: Devuelve los métodos HTTP que el servidor soporta para un URL...
Leer documento completo
Regístrate para leer el documento completo.