院里的一个网站没通过安全检查

院里想部署一个网站,但若需要使用学校域名访问则需要通过一些安全检查。最近网站部署上去了,但是由于没通过检查还是无法访问。今天他们找我看看怎么改,看了看检测报告,有感而发。

第一个大的问题就是说启用了不安全的HTTP方法

我觉得很奇怪,OPTIONS怎么就不安全了

查了下是说,该方法会暴露一些服务器或中间件信息等

我没记错的话,这应该就是这个方法的初衷吧。

好比是有这么一家医院,它有很多的科室,皮肤科、脑科、眼科等,一开始,如果有人要来看病,这个人就必须熟悉这个医院有哪些科室,每个科室在什么地方。现在我为了方便病人,加入了一个前台,病人只需要询问前台即可知道该去哪里挂号。这时候医院领导却说,这样搞不行,万一来的人是竞争对手或恶意人员就暴露的医院的信息。所以就不让建立这个前台,很神奇吧。

这让我想起来我之前待过的一家公司,刚进去的时候,让我写了一些接口,因为是前后端分离的项目,用的是restful api,写完后将文档发给前端,后来他找我说接口调不通。检查后发现,我文档明明写的是PUT、DELETE方法,他却用POST方法调用,我让他改改,他说他们为了省事都不用这些方法。这家公司我没待太久。

互联网技术发展太快了,稍微有点惰性就跟不上时代了。

老的技术仍在固步自封,新的技术却在飞速发展,当两者相遇,就会产生很强的割裂感。

Leave a Comment