Restful APIのHTTPパッチ
Secure PROを使用して開発中のAPIに対してセキュリティスキャンを実行したところです。 HTTPパッチ動詞が利用できるため、いくつかの方法で潜在的な脆弱性にフラグを立てています。
リソースが存在しない場合、PATCHがリソースを更新するように見えることを理解しています。 APIが認証を正しく実装し、データを更新する前にリソースを所有していると仮定すると、HTTP PATCH動詞について本質的に安全でないものはありますか、それとも許可されませんか?
いいえ、PATCH動詞の処理に伴う固有のセキュリティリスクはありません。
お使いのブラウザーは、PATCHとPUTまたはDELETEに異なるセキュリティポリシーを適用しません。代わりに、セキュリティへの影響は、サーバーのメソッドの実装に依存します。
より一般的なルールとして、攻撃対象領域をできるだけ小さくし、不要なメソッドを無効にする必要があります。
参照: HTTPメソッドの活用方法