Php 包括访问控制允许方法：*仅适用于PUT请求

我正在评估REST API，我想知道是否包括：

Access-Control-Allow-Methods:GET,POST,PUT,DELETE,OPTIONS

当

请求方法

仅用于

放置时，
响应标题中的
是正确的

我还想了解这是一种安全风险还是一种错误的做法

从技术上讲，只有
PUT
可能不够。对于飞行前请求，您可能还需要
选项

一般来说，REST使用
PUT
修改现有内容。但我们需要先创建内容，然后才能进行修改。所以
POST
也许也应该被允许？由你决定

出于安全考虑，在我看来，它更多的是在代码上，而不是在允许的标题上。
好的，我理解你的观点，但我认为在这里删除它是不合适的，你怎么看？如果我们有一个
DELETE
的用例，我们无论如何都会把它放在某个地方。在参数、自定义标头或方法中。如果人们能弄明白，这取决于我们的代码如何处理这些可疑的请求。我担心Prefligh可能存在的问题，如这里和这里所述：感谢您在这方面花时间。