小朱® 的技術隨手寫

在雲端服務風行之後，HTTP service 己經成為各大網路服務供應商的選擇，因此各大服務幾乎都用 HTTP service 來實作自己的網路APIs，也讓 HTTP APIs 有如雪球般快速的擴大，現在己經遠遠的超過了Windows API的函式數量。據programmableweb.com的統計，現在全球共有6,700多個HTTP API可用，而且還在快速的成長中...

[bug逃走中] 在 IIS6 上部署 HTTP Handler 時會有的異常現象

這是今天有位朋友在 MSN 上問的一個問題，因為我也是第一次看到這個名詞，所以我也上網查了一下，在 Arshan Dabirsiaghi 於 2008 年所發表的 "Bypassing Web Authentication and Authorization with HTTP Verb Tampering" 論文中提到這樣的弱點，但早在 2004 年 Kernelpanik Lab 就已經有研究報告提出這個弱點，主要的原因是在 Web Server 或 Web Application 或 HTTP Endpoint 中，沒有針對 HTTP 動詞 (verb) 去做存取控制所致。

這個功能是在設計 Facebook Graph API Client Library 時碰到的問題，在 Graph API 中的 Publish_Stream 中有一項上傳相片的功能，這個功能內有一個 message 和 access_token 參數，而原本我們學習的 HTTP 技術本身大多都是沒有混合二進位和字串值的參數，所以當時碰到這個問題時，一時想不到什麼解決方法，後來搜尋到 RFC 2188: Returning Values from Forms: multipart/form-data，這份文件說明了在 HTTP POST 訊息中使用多種格式訊息的作法，它可以用在許多 REST-based API 的系統，它可以混合多種資料格式並一次傳送，當然非文字的資料必須要編碼為二進位字串。