HTTP-Methoden-Validierung

12 Tests verifizieren, dass nur erlaubte HTTP-Methoden pro Endpoint akzeptiert werden.

OpenAPI-Konfiguration

Jeder Endpoint definiert, welche HTTP-Methoden erlaubt sind:

# openapi.yaml
paths:
  /users:
    get:      # GET erlaubt
    post:     # POST erlaubt
    # DELETE nicht definiert = blockiert!
METHOD-001PASS

GET /users - Erlaubte Methode

Beispielanfrage

curl -X GET -H "X-API-Key: valid-key" http://localhost:8080/users

GET-Anfragen an /users sind laut OpenAPI-Spezifikation erlaubt.

METHOD-003BLOCKIERT

DELETE /users - Methode nicht erlaubt

Beispielanfrage

curl -X DELETE -H "X-API-Key: valid-key" http://localhost:8080/users

Erwartete Antwort

HTTP/1.1 405 Method Not Allowed

DELETE-Anfragen werden blockiert, wenn sie nicht explizit für diesen Endpoint definiert sind.

METHOD-006BLOCKIERT

TRACE /users - Gefährliche Methode blockiert

TRACE und andere potenziell gefährliche Methoden werden standardmäßig blockiert, um XST-Angriffe zu verhindern.