在考虑使用时,应该注意哪些安全影响WebDAV? 如何确保其安全?我还应该了解什么?
答案1
WebDav 本身没有任何安全性。它允许任何人接触任何东西。标准文档中说,这应该在 Web 服务器层(或应用程序,如果提供 WebDAV 服务)中处理。
验证
WebDAV 没有本机身份验证服务,因此需要在它前面放置一个。不同的 Web 服务器对此的处理方式不同,具体取决于您使用的 dav 模块。特定于服务器的模块 (mod_dav) 的行为与基于应用服务器(如 Tomcat)的模块的行为不同。这是正常的 HTTP 身份验证内容;基本、摘要、SASL、Kerberos 等。
HTTPS
因为如果没有它,身份验证就不会被加密(除非您正在执行基于 IIS 的 webdav 和 NTLM),并且文件将不会被加密传输。
本地认证
根据驱动 WebDAV 的因素,注意删除文件的实际操作系统用户。有时 Dav 服务器会模拟实际用户,有时则是一个用户删除文件,应用程序负责阻止用户访问他们不应访问的文件。
答案2
它基本上与保护可以修改资源的 HTTP 相同:实施 HTTPS 并要求身份验证(密码或客户端证书)。