orchestrator
2023.4
false
- 入门指南
- 要求
- 最佳实践
- 部署和配置注意事项
- 加密 SQL Server
- 禁用 HTTP 方法覆盖请求
- 安全使用文件系统存储允许列表
- 安装
- 正在更新
- 身份服务器
- 对启动错误进行故障排除
禁用 HTTP 方法覆盖请求
重要 :
请注意此内容已使用机器翻译进行了部分本地化。
Orchestrator 安装指南
Last updated 2024年10月3日
禁用 HTTP 方法覆盖请求
某些网页框架提供了一种方法来覆盖请求中的 HTTP 方法,方法是提供特定的 HTTP 请求标头,例如
X-HTTP-Method
、 XHTTP-Method-Override
和 X-Method-Override
。
默认情况下,在使用 HTTP 标头后,在 Orchestrator 中执行授权。 因此,您不必担心动词隧道。
但是,为了增加额外的安全性,您可以在 Orchestrator 实例的
web.config
文件中禁用 X-HTTP-METHOD-OVERRIDE
标头,方法是将其大小限制设置为 0。
例如,您可以在配置文件中添加以下代码:
<security>
<requestFiltering>
<requestLimits>
<headerLimits>
<add header="X-HTTP-METHOD-OVERRIDE" sizeLimit="0" />
</headerLimits>
</requestLimits>
</requestFiltering>
</security>
<security>
<requestFiltering>
<requestLimits>
<headerLimits>
<add header="X-HTTP-METHOD-OVERRIDE" sizeLimit="0" />
</headerLimits>
</requestLimits>
</requestFiltering>
</security>