Tim Tepaße: Get oder Post

Beitrag lesen

SELF-Forum

Get oder Post

Tim Tepaße
Informationen zu den Bewertungsregeln

Hallo Mathias,

(Sorry, ist mir in den letzten Tagen etwas entflutscht, zu antworten)

Außer diesem hypothetischen »es könnte ja völlig kaputte und hirnrissige Clients geben« spricht m.E. praktisch nichts gegen GET.

Nun ja, es gibt ja Clients, die sich teilweise so verhalten, weswegen ich explizit nicht nur Bots, sondern Prefetch-Anwendungen erwähne, die schon Probleme gemacht haben.

Nur bei dynamischen, oft personalisierten, jedenfalls geschlossenen Webanwendungen gibt es überhaupt die »Nebeneffekte« auf dem Server. Wenn man auf solche Webanwendungen Robots loslässt, muss notwendigerweise etwas schiefgehen. Daher gibt es Authentifizierung, Identifizierung usw. und nicht jeder Robot bekommt URLs zu Gesicht, deren GET-Aufruf irgendwelche serverseitigen »Nebeneffekte« hat (wie z.B. das Löschen von Daten).

Und gerade Prefetch-Erweiterungen sind nunmal (durch den Nutzer) authentifiziert, weil diese für diesen selbst agieren. Firefox' eingebauter Algorithmus erwartet zwar ein explizites Auszeichnen des zu prefetchenden Links durch den Webmaster, andere Prefetching-Erweiterungen sind da nicht so brav sondern fetchen alles, was nicht bei drei auf den Bäumen ist. Hier ärgert sich der Anbieter populärer Web-Anwendungen sehr über den GWA, weil sein Web-Framework stark auf GET-Aktionen ausgerichtet ist.

Zugegeben, die Anbieter von alles ladenden Prefetch-Erweiterungen machen teilweise Annahmen, was sie besser nicht laden sollten:

• Der Google Web Accelerator lädt keine Verweise mit Parametern.
• Fasterfox lädt nur „statische Seiten“, konkret orientiert es sich an der Dateiendung (*.html, *.jpg, *.etc)

Und auch wenn das relativ intelligente Annahmen im derzeitigen Web sind, kann man als Seitenanbieter dagegen verstoßen. RoR (in früheren Versionen und im Default) nutzt z.B. Parameter wie delete nicht im Parameter-Anteil der URI sondern im Pfad-Anteil. Usw. Diese Erweiterungen machen bestimmte Annahmen auf der Basis von HTTP (Beim GWA schon direkt in der Webmasters FAQ); als Anbieter von Web-Anwendungen erwidert man nun diese Annahmen entweder mit extra Code auf Serverseite, sperrt die Erweiterungen mit robots.txt oder HTTP-Header-Analyse aus oder erfüllt einfach die Annahmen von HTTP bei der Entwicklung. Letzteres erscheint mir einfach am entspanntesten, denn ansonsten ist das Aussperren von Prefetching ein Rennen, immer wenn ein neues solches Tool erscheint oder ein bestehendes seine Regeln ändert.

(Und wie schon woanders geschrieben: GET-Aktionen sind eine Basis für CSRF-Sicherheitslücken, weil man damit jemanden auf der Seite Berechtigtem das unbeabsichtigte Laden von verändernden Verweisen unterjubeln kann.)

Tim

Beitrag melden
Informationen zu den Bewertungsregeln
0 24

Get oder Post

GETPOST
  • meinung
  1. 2
    Jeena Paradies
    1. 0
      Reiner
      1. 0
        Sven Rautenberg
        1. 0
          Reiner
          1. 10
            Christian Seiler
            1. 0
              Sven (κ)
              1. 2
                Christian Seiler
                1. 0
                  Der Martin
                  1. 3
                    Christian Seiler
                    1. 0
                      Der Martin
                      1. 2
                        Christian Seiler
          2. 0
            Jens Holzkämper
    2. 0
      Siechfred
      1. 0
        Jeena Paradies
        1. 0
          Siechfred
          1. 0
            Jeena Paradies
            1. 0
              Siechfred
              1. 0
                Juve
    3. 0
      afra
  2. 4
    Tim Tepaße
    1. 0
      molily
      1. 0
        Tim Tepaße
  3. 0
    Jörg Peschke