Nach einem redirect 301 wird POST wird durch GET überschrieben

**alex517**

Hallo alle zusammen!

Ich habe einen REST-Server und einen REST-Client mit dem DMVC von Daniele Teti geschrieben.

Die Filter-Parameter für die Abfrage GetHistorie() werden als JSON im Body übergeben.
Mit POST wird die Abfrage ausgeführt.

markieren

Delphi-Quellcode:

			    [MVCPath('/historie')]

    [MVCConsumes(TMVCMediaType.APPLICATION_JSON)]

    [MVCProduces(TMVCMediaType.APPLICATION_JSON)]

    [MVCHTTPMethod([httpPOST])]

    procedure GetHistorie([MVCFromBody] Filter: TFltHistorie);

Die Produktiv-Umgebung läuft über einen Reverse-Proxy mit NGINX und Let's encrypt.

Wenn die Abfrage über HTTPS geht ist alles ok, die POST-Methode wird ausgeführt.

Wenn die Abfrage über HTTP gestartet wird,
erfolgt durch NGINX eine Umleitung auf HTTPS.

markieren

Code:

			  ...

  return 301 https://$server_name$request_uri;

  ...

Diese Umleitung mit dem Code 301 bewirkt im REST-Server in der Funktion
System.Net.HttpClient.IsAutoRedirectWithGET(..)
ein Überschreiben der POST-Methode durch eine GET-Methode.

Das hat zur Folge, dass der Client als Antwort ein 404 erhält,
da Funktion GetHistorie() als HTTP-POST und nicht als HTTP-GET definiert ist.

Ok, Lösung:
gleich das HTTPS Protkoll verwenden.

Jetzt die Fragen:

Warum wird, wie es aussieht standardmäßig, nach einem redirect 301 ein POST durch ein GET ersetzt?

Kann man dieses Verhalten abstellen?

Alex

**Union**

Ist wohl abhängig von der verwendeten Client-Library Implementierung:

Zitat von RFC2616:

If the 301 status code is received in response to a request other
than GET or HEAD, the user agent MUST NOT automatically redirect the
request unless it can be confirmed by the user, since this might
change the conditions under which the request was issued.

Note: When automatically redirecting a POST request after
receiving a 301 status code, some existing HTTP/1.0 user agents
will erroneously change it into a GET request.

**alex517**

Hhmm,
das heißt, dass diese Funktion einfach nur ein Fehler ist?

unit System.Net.HttpClient:

zusammenfalten · markieren

Delphi-Quellcode:

			function THTTPClient.IsAutoRedirectWithGET(const ARequest: THTTPRequest; const AResponse: THTTPResponse): Boolean;

var

  LRedirWithGet: THTTPRedirectsWithGET;

  LMethod: string;

begin

  // POST:

  // * 303 must be redirected to GET according spec

  // * 301, 302, 307 erroneously may be redirected to GET too

  // PUT, DELETE:

  // * 303 must be redirected to GET according spec

  Result := False;

  if not IsAutoRedirect(AResponse) then

    Exit;

  LRedirWithGet := RedirectsWithGET;

  LMethod := ARequest.GetMethodString;

  if SameText(LMethod, sHTTPMethodPost) then

    case AResponse.GetStatusCode of

    301: Result := THTTPRedirectWithGET.Post301 in LRedirWithGet;

    302: Result := THTTPRedirectWithGET.Post302 in LRedirWithGet;

    303: Result := THTTPRedirectWithGET.Post303 in LRedirWithGet;

    307: Result := THTTPRedirectWithGET.Post307 in LRedirWithGet;

    308: Result := THTTPRedirectWithGET.Post308 in LRedirWithGet;

    end

  else if SameText(LMethod, sHTTPMethodPut) then

    case AResponse.GetStatusCode of

    301: Result := THTTPRedirectWithGET.Put301 in LRedirWithGet;

    302: Result := THTTPRedirectWithGET.Put302 in LRedirWithGet;

    303: Result := THTTPRedirectWithGET.Put303 in LRedirWithGet;

    307: Result := THTTPRedirectWithGET.Put307 in LRedirWithGet;

    308: Result := THTTPRedirectWithGET.Put308 in LRedirWithGet;

    end

  else if SameText(LMethod, sHTTPMethodDelete) then

    case AResponse.GetStatusCode of

    301: Result := THTTPRedirectWithGET.Delete301 in LRedirWithGet;

    302: Result := THTTPRedirectWithGET.Delete302 in LRedirWithGet;

    303: Result := THTTPRedirectWithGET.Delete303 in LRedirWithGet;

    307: Result := THTTPRedirectWithGET.Delete307 in LRedirWithGet;

    308: Result := THTTPRedirectWithGET.Delete308 in LRedirWithGet;

    end;

end;

**Rolf Frei**

Nein das ist so schon richtig. Das Problem ist, dass du garnicht erst ein Post auf eine URL ausführen solltest, die ein 301 liefert. Die Daten werden im Content an den Server geschickt und bei einem 301 würdest du diese Daten verlieren, da du nur die neue URL retour bekommst, aber nicht die im Content geschickten Daten. Eventuell irre ich mich da auch, aber ich glaube eine 301 sendet kein Content.

**alex517**

Ok, das mit dem fehlenden Content wäre eine Erklärung.
Wobei sich die Frage stellt, was das Sinnvolles rauskommen soll,
wenn ein POST/PUT/DELETE in ein GET umgewandelt wird.

Und es bliebe noch der Hinweis aus der RFC, dass das Umwandeln nur
fälschlicherweise durch einige Clients ausgeführt wird.

Aber gut, ich werde den Zugriff per HTTP abstellen und immer gleich HTTPS verwenden.

Alex

**himitsu**

Auf das Redirekt reagieren, die Zugangsdaten in der Komponente anpassen und es nochmal senden?

**alex517**

Naja, ich bekomme als Fehler nur die 404 "Not found" zurück
und das kann ja verschiedene Gründe haben.
Außerdem gehe ich in der Produktiv-Umgebung sowieso über HTTPS
und komme damit nicht in den "Genuss" des Redirects.

Meine Frage war eher aus Interesse, warum man überhaupt sowas,
für meine Begriffe, unsinniges macht.

alex

**Bbommel**

Wenn du statt 301 ein 308 als Antwort lieferst, dann sollte die Umleitung so funktionieren, dass das POST erhalten bleibt, siehe

bei MDN. Ich hatte das Problem bei einem Programm von mir selber auch und konnte das so, da ich auch Zugriff auf den Server hatte, am einfachsten lösen. Klar, irgendwas mit 404 oder 301 und dann selber auswerten ging auch, aber so war es am einfachsten.

**himitsu**

Das 301 sagt Dir, dass es nun wo anders zufinden ist ... du (bzw. die verwendete Komponente) kann nun einen Fehler werfen, weil Umleitungen z.B. aus Sicherheitsgründen verboten sind (Hacker hat Kontrolle bekommen und leitet alles an seine Server weiter) oder man wendet sich eben an die neue Adresse (hier vielleicht die Redirects mitzählen und begrenzen, damit man nicht in einer Endlosschleife landen kann.

Der Server könnte natürlich auch intern die Anfrage direkt weiterleiten, anstatt einem 301/308, wenn er wöllte, und du bekommst davon dann nichts mit und es läuft so weiter, wie bisher.

**alex517**

Erstmal danke für den

interessanten Link.

Ein POST/PUT/DELETE wird auch bei einem redirect 308 in der
unit System.Net.HttpClient auf ein GET umgeleitet und ich hatte
nicht vor an den Delphi-Quelltexten Änderungen zu machen.

Den redirect 301 verwende ich im nginx dazu den Client
zum Wechsel von HTTP zu HTTPS zu zwingen.
Da aber auch die Client-Software von mir ist,
kann ich auch gleich das richtige Protokoll verwenden.
Bei HTTP gibt es ein 403 zurück.
Ist auch der Sicherheit zuträglicher.

Nach einem redirect 301 wird POST wird durch GET überschrieben

Nach einem redirect 301 wird POST wird durch GET überschrieben

AW: Nach einem redirect 301 wird POST wird durch GET überschrieben

AW: Nach einem redirect 301 wird POST wird durch GET überschrieben

AW: Nach einem redirect 301 wird POST wird durch GET überschrieben

AW: Nach einem redirect 301 wird POST wird durch GET überschrieben

AW: Nach einem redirect 301 wird POST wird durch GET überschrieben

AW: Nach einem redirect 301 wird POST wird durch GET überschrieben

AW: Nach einem redirect 301 wird POST wird durch GET überschrieben

AW: Nach einem redirect 301 wird POST wird durch GET überschrieben

AW: Nach einem redirect 301 wird POST wird durch GET überschrieben

Forumregeln

himitsu Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.052 Beiträge Delphi 12 Athens	#6 AW: Nach einem redirect 301 wird POST wird durch GET überschrieben 17. Feb 2022, 09:18 Auf das Redirekt reagieren, die Zugangsdaten in der Komponente anpassen und es nochmal senden? Neuste Erkenntnis: Seit Pos einen dritten Parameter hat, wird PoSex im Delphi viel seltener praktiziert.
	Zitat