我们做 toB 项目的用 delete 过不了人家的安全扫描。现在全是 get 、post 一把梭

我愿称之为，纯粹没事找事

会有 REST 警察出没的。

单一资源还好，我想问一下嵌套资源的最佳实践是什么？如获取客户的订单 1 、/customer/{customer_id}/orders：如果用这种接口写在哪个控制器里，返回结果是直接返回订单数组还是先返回客户信息，再套订单数组。如果是后者分页怎么搞？ 2 、/orders?customer_id=xxx：上面的方式要查询所有客户的订单好像也没那么方便，所以用这种好像更方便 似乎看起来第一种形式更符合语义但是有不方便的地方，第二种更方便。哪一种算更符合标准 Restful 呢？

不会用，很多神奇的 waf 会禁用

@arsenal4 如果是我设计，应该是 /orders/list ,customer_id 作为查询参数

全部都用 POST 也可以实现全部的业务需求。那么为什么还要多一个 GET 呢，有什么好处吗？自己回答一下就知道了。

经过 nn 个项目的经验，最兼容的方式全部用 POST 。

会用，不过可能其他地方某些无脑一刀切的 WAF 和运维安全人员会封 PUT 、DELETE

不用，我们公司的安全检测会报“ 检测到目标服务器启用了 OPTIONS 方法”的风险提示。只能微笑.jpg 了