OWASP ASVS 3.5.3 安全要求解析：HTTP方法的安全使用

在Web应用安全验证标准（OWASP ASVS）的3.5.3章节中，明确规定了关于HTTP方法使用的安全要求。这一要求对于构建安全的Web应用程序至关重要，它直接关系到应用能否有效防范某些类型的安全攻击。

核心安全要求

ASVS 3.5.3要求验证所有敏感功能调用的HTTP请求是否使用了适当的HTTP方法。具体来说：

1. 敏感功能必须使用POST、PUT、PATCH或DELETE等非安全方法
2. 禁止使用HTTP规范定义的"安全"方法（如HEAD、OPTIONS或GET）来执行敏感操作
3. 作为替代方案，可以通过严格验证Sec-Fetch-*请求头字段来确保请求来源的合法性

技术背景与原理

HTTP协议定义了多种方法，这些方法根据RFC 7231被分为"安全"和"非安全"两类：

安全方法（不应改变服务器状态）：

• GET：获取资源
• HEAD：类似GET但只返回头部
• OPTIONS：查询服务器支持的选项

非安全方法（可能改变服务器状态）：

• POST：提交数据
• PUT：替换资源
• PATCH：部分更新资源
• DELETE：删除资源

使用GET等安全方法执行敏感操作会带来多种安全风险，包括但不限于：

1. CSRF攻击更容易实施
2. 敏感数据可能通过Referer头或浏览器历史记录泄露
3. 搜索引擎爬虫可能意外触发敏感操作

最佳实践建议

1. 方法选择原则：

   • 数据查询使用GET
   • 数据创建使用POST
   • 数据更新使用PUT/PATCH
   • 数据删除使用DELETE

2. *Sec-Fetch-头验证：

   • Sec-Fetch-Dest：指示请求的目的地（如document、image等）
   • Sec-Fetch-Mode：请求模式（如cors、navigate等）
   • Sec-Fetch-Site：请求来源与目标的关系（如same-origin、cross-site等）
   • 通过验证这些头部可以识别并阻止不适当的跨域调用或资源加载请求

3. 额外防护措施：

   • 实施CSRF防护机制
   • 对敏感操作要求重新认证
   • 记录所有非安全方法的调用

常见误区

1. 认为仅限制HTTP方法就足够安全：实际上还需要配合其他安全措施，如输入验证、输出编码等。
2. 忽视HTTP参数污染问题：即使限制了HTTP方法，仍需防范通过不同来源（查询字符串、body参数、cookies等）的参数污染攻击。
3. *过度依赖Sec-Fetch-头部：这些头部虽然有用，但并非所有浏览器都支持，应作为补充而非主要防护手段。

通过遵循ASVS 3.5.3的要求，开发者可以显著提高Web应用程序的安全性，减少因不当使用HTTP方法而导致的安全漏洞风险。