OWASPがファイルのアップロードにPUTよりもPOSTを使用することを推奨するのはなぜですか？

TL; DR：PUTは多くのものでサポートされていません。時々それは拡張機能としてのみ利用可能であり、拡張機能を有効にすることはあなたの攻撃面を増加させます。

@iainはコメントで正しいSO質問 PUT vs POST RESTの場合 がここに関連しています。RESTfulnessの観点からPUTは、ファイルの更新や上書きにも適しています。

ただし、セキュリティの観点から議論すると、元のHTMLフォームはPUTをサポートせず、GETとPOSTのみをサポートしました。これに関する多くの情報は ほとんどのWebブラウザーでPUT、DELETE、HEADなどのメソッドを利用できますか？ にありますが、一部の情報は古くなっており、一部のリンクは無効になっています。だから私はそれをここに要約します：

HTML

AJAXは、GET、POST、PUT、さらにはDELETEをサポートしています。しかし、ブラウザの一般的なフォームにはありません。 HTML5は、ドラフトバージョンでPUTおよびDELETEのサポートを追加しましたが、PUTもDELETEも HTML5インフラストラクチャの現在の定義 にはありません。つまり、ブラウザは、HTML5に準拠するために<form method="PUT">を理解する義務はありません。

ウェブサーバー

ApacheとNginxはどちらもPUTとDELETEを WebDAV 拡張として使用します。 Webサーバーを強化したい場合、WebDAV拡張なしでコンパイルすることがよくあります。拡張機能を追加すると、攻撃対象が増えます。

一方、私たちのフレームワークはしばしばPUTをサポートしていません。または、より一般的には、同じ関数を使用してPOSTおよびPUTを処理し、PUT動詞の使用をPOSTとまったく同じにします。

だから、そう、OWASPのガイドラインは理にかなっています。 "完全に実装している場合REST PUTを使用し、使用していない場合POSTより広くサポートされています」。