在发出HTTP DELETE请求时,请求URI应该完全标识要删除的资源。但是,是否允许添加额外的元数据作为请求实体主体的一部分?
当前回答
对Body使用DELETE是有风险的…比起REST,我更喜欢这种列表操作方法:
常规操作
GET /objects/获取所有对象
GET /object/ID获取指定ID的对象
POST /objects添加一个新对象
PUT /object/ID添加指定ID的对象,更新对象
DELETE /object/ID删除指定ID的对象
所有自定义操作都是POST
POST /objects/addList添加body中包含的对象列表或数组
POST /objects/deleteList删除包含在body中的对象列表
POST /objects/customQuery基于body中的自定义查询创建一个List
如果客户不支持您的扩展操作,他们可以以常规方式工作。
其他回答
对Body使用DELETE是有风险的…比起REST,我更喜欢这种列表操作方法:
常规操作
GET /objects/获取所有对象
GET /object/ID获取指定ID的对象
POST /objects添加一个新对象
PUT /object/ID添加指定ID的对象,更新对象
DELETE /object/ID删除指定ID的对象
所有自定义操作都是POST
POST /objects/addList添加body中包含的对象列表或数组
POST /objects/deleteList删除包含在body中的对象列表
POST /objects/customQuery基于body中的自定义查询创建一个List
如果客户不支持您的扩展操作,他们可以以常规方式工作。
2014年更新的HTTP 1.1规范(RFC 7231)明确地允许在DELETE请求中使用实体:
DELETE请求消息中的有效负载没有定义的语义;在DELETE请求上发送有效负载主体可能会导致某些现有实现拒绝该请求。
也许下面的GitHUb url会帮助你,得到答案。 实际上,应用服务器,如Tomcat, Weblogic拒绝HTTP。带请求有效负载的DELETE调用。所以记住这些东西,我已经在github中添加了例子,请看看
https://github.com/ashish720/spring-examples
我认为这个问题还没有一个好的答案,尽管已经有很多关于现有答案的很好的评论。我将把这些评论的要点升华为一个新的答案:
RFC7231中的这段话已经被引用了几次,这确实总结了它。
DELETE请求消息中的有效负载没有定义的语义; 在DELETE请求上发送有效负载主体可能会导致一些现有的问题 实现来拒绝请求。
我忽略了其他答案的含义。是的,允许在DELETE请求中包含一个主体,但这在语义上是没有意义的。这实际上意味着,发出带有请求体的DELETE请求在语义上等同于不包含请求体。
包含一个请求体不应该对请求有任何影响,所以包含它是没有意义的。
tl;dr:从技术上讲,一个带有请求体的DELETE请求是允许的,但是这样做是没有用的。
其他几个回答提到了RFC 7231,它有效地说了DELETE请求可以有一个主体,但不推荐。
在2022年,RFC 7231被RFC 9110: HTTP语义所取代,它现在说:
[...] content received in a DELETE request has no generally defined semantics, cannot alter the meaning or target of the request, and might lead some implementations to reject the request and close the connection [...]. A client SHOULD NOT generate content in a DELETE request unless it is made directly to an origin server that has previously indicated, in or out of band, that such a request has a purpose and will be adequately supported. An origin server SHOULD NOT rely on private agreements to receive content, since participants in HTTP communication are often unaware of intermediaries along the request chain.
这种语言在之前的语言基础上得到了加强,也就是说,即使它是允许的,在使用它时也需要非常小心,因为(例如)一些用户可能在代理的背后,为了打击“请求走私”而从请求中剥离主体。
推荐文章
- ReferenceError: description没有定义NodeJs
- REST API - dto还是不是?
- OData和REST web服务的区别
- 用Spring我可以做一个可选的路径变量吗?
- 什么是HTTP“主机”报头?
- 哪个HTTP状态代码表示“尚未准备好,稍后再试”?
- Django REST框架:向ModelSerializer添加额外字段
- 如何阻止恶意代码欺骗“Origin”报头来利用CORS?
- 为什么说“HTTP是无状态协议”?
- 我需要HTTP GET请求的内容类型报头吗?
- REST和RPC之间的Web服务差异
- 如何让Chrome允许混合内容?
- 正确的方式删除cookies服务器端
- REST DELETE真的是幂等的吗?
- 如何用node.js实现一个安全的REST API
