Existe algum problema de segurança ao permitir o verbo DELETE no IIS 6? O verbo DELETE faz qualquer coisa por padrão no IIS (ou seja: você pode excluir arquivos etc. com ele se a segurança não estiver configurada corretamente?)
Estou trabalhando em um aplicativo REST e planejei usar o verbo http DELETE em certas solicitações. Nossos administradores de servidor têm o UrlScan instalado e ele está configurado para permitir apenas verbos GET e POST. O UrlScan não pode permitir seletivamente determinados caminhos, as regras são simplesmente ativadas ou desativadas, por isso, é ativado para todo o site. Eles relutantemente habilitaram o DELETE para mim, mas eu não quero abrir inadvertidamente uma falha de segurança.
Se o usuário do IIS (se não tiver sido alterado do sistema local padrão, seria um problema) tiver direitos de exclusão, o invasor poderá usar esse acesso para excluir arquivos no sistema local. O WebDAV funciona usando esse método.
Há uma resposta de stackoverflow lidando com as soluções alternativas de não usar PUT e DELETE
Tags iis