web服务的“适当”请求大小限制是什么？

Question

OWASP ASVS第18.4点指出

验证所有输入都限制在适当的大小限制内。

目前，我对所有web服务的输入限制为50 web。(在Microsoft中，这似乎是默认的。)我认为这样的限制允许容易的拒绝服务攻击，特别是当多个服务可以同时受到攻击的时候。这个限制是不是太高了？如何处理那些需要更大请求的服务？

Answer 1

这取决于webservice正在做什么。

我会重写这个OWASP行：“验证所有输入都被限制在适合服务的大小之内”。

因此，如果您控制输入，您可以在此基础上设置大小，如果服务接受的是不同大小的东西，例如图像或文件，那么您必须选择一个您满意的限制，并对应用程序有意义。如果服务期望使用智能手机拍摄的图像，那么将其设置为1gb是没有意义的。