デフォルトでasmx webservicesでSOAPとGETが無効になっているのはなぜですか？

Question

私のasmx webservicesの欠落しているプロトコルをオンにしようとしています。彼らはすでに2つの認証層の背後にあり、ロールチェック属性を持っています。それ以外は安全です。

このMS KB article explains GET and SOAPは、デフォルトでasmxでは無効になっていますが、POSTはデフォルトで有効になっていますが、「セキュリティ上の理由」以外の理由は示されていません。これはただの迷信ですか？なぜ彼らはそれをしましたか？ POSTが有効になっていると、GETが有効になっているのと同じくらい安全ではないようです。

私は攻撃の面を減らしたと思うが、誰かが特定のプロトコルでWebサービスを呼び出すまでは、POSTを有効にしたままにするよりも安全です。

Answer 1

実際のリンクはINFO: HTTP GET and HTTP POST Are Disabled by Defaultです。

GETおよびPOSTプロトコルはSOAPヘッダーをサポートできません。これらはセキュリティ上の目的で多くのサービスで必要となります。

これらのプロトコルは、純粋なSOAPサービス（プロトコルでPOSTの使用が指定されているため）によく使用されるものではありません。開いたままにすると、誰も見られないようにドアが開かれます。悪い人が忍び込んでくることがあります。